Difesa dall'iniezione di prompt: Proteggere il tuo spazio di lavoro IA.
Comprendere le minacce di iniezione di prompt, gli incidenti reali e come l'architettura di sicurezza multilivello di Claude Cowork protegge i tuoi dati.
Ultimo aggiornamento: febbraio 2026
Il panorama delle minacce
Gli agenti IA affrontano sfide di sicurezza uniche che il software tradizionale non conosce.
Iniezione di prompt indiretta
Istruzioni malevole nascoste in documenti, e-mail o pagine web che inducono l'agente IA a eseguire azioni non previste durante l'elaborazione del contenuto.
Vulnerabilità dei server MCP
I server MCP di terze parti possono contenere falle di sicurezza — come validazione insufficiente degli input — che consentono accesso arbitrario ai file, cancellazione o esecuzione di codice remoto.
Rischio di esfiltrazione dati
Una sessione IA compromessa con accesso alla rete potrebbe inviare il contenuto di file sensibili a server controllati dall'attaccante tramite richieste manipolate.
Incidenti reali (gennaio 2026)
Una cronologia degli eventi di sicurezza che hanno definito l'attuale panorama delle minacce per gli agenti IA desktop.
15 gen. 2026
PromptArmor rivela l'esfiltrazione di file da Cowork
Ricercatori di sicurezza hanno dimostrato che iniezioni di prompt nascoste nei documenti potevano istruire Cowork a leggere file sensibili e inviarli a server esterni. La vulnerabilità era stata segnalata per la prima volta nell'ottobre 2025 per l'API Files di Claude.
20 gen. 2026
Tre falle critiche nel server Git MCP
L'azienda di cybersicurezza Cyata ha scoperto vulnerabilità di lettura arbitraria, cancellazione di file ed esecuzione di codice remoto nel server ufficiale mcp-server-git di Anthropic. Corretto nella versione 2025.12.
Corretto28 gen. 2026
Risposta dell'industria
L'OWASP ha aggiornato la sua Top 10 dei rischi IA posizionando l'iniezione di prompt e il 'dirottamento dell'obiettivo dell'agente' al primo posto. MIT Technology Review ha pubblicato: 'Le regole falliscono al prompt, funzionano al confine.'
La "triade letale"
Il ricercatore di sicurezza Simon Willison ha identificato tre fattori che, combinati, creano il rischio massimo per i sistemi di agenti IA:
Accesso ai dati privati
L'agente può leggere file sensibili, credenziali e informazioni personali sul tuo sistema.
+Esecuzione di azioni
L'agente può scrivere file, eseguire comandi, effettuare richieste di rete e interagire con servizi esterni.
+Contenuti non affidabili
L'agente elabora documenti, pagine web o e-mail che possono contenere istruzioni malevole nascoste.
L'architettura di difesa di Cowork
Claude Cowork impiega più livelli di protezione, dall'isolamento hardware alle salvaguardie a livello di modello.
Isolamento VM
Cowork gira all'interno di una VM Linux dedicata tramite la tecnologia di virtualizzazione nativa della piattaforma (macOS e Windows). Anche in caso di compromissione, l'agente non può uscire dai confini della VM né accedere a cartelle non montate.
Allowlisting di rete
Tutto il traffico in uscita passa attraverso un proxy con allowlisting dei domini. Gli URL arbitrari sono bloccati per impostazione predefinita, impedendo l'esfiltrazione non autorizzata dei dati.
Sistema di permessi
Tre tipi di regole — Consenti, Chiedi e Nega — controllano quali azioni l'agente può eseguire. Scrittura di file, comandi bash e utilizzo di strumenti MCP richiedono approvazione esplicita.
Classificatori di contenuto
Classificatori dedicati analizzano i contenuti non affidabili alla ricerca di pattern di iniezione di prompt prima che l'agente li elabori, rilevando istruzioni nascoste in documenti e pagine web.
Salvaguardie RLHF
Claude è addestrato tramite Reinforcement Learning from Human Feedback per riconoscere e rifiutare istruzioni malevole. Ogni generazione del modello mostra miglioramenti misurabili nella resistenza alle iniezioni.
10 best practice di sicurezza
Azioni concrete per ridurre i rischi nell'uso di agenti IA desktop.
Limitare l'accesso alle cartelle
Concedi a Cowork l'accesso solo a cartelle di lavoro specifiche. Non montare mai la directory home, le chiavi SSH o gli archivi di credenziali.
Verificare i file non affidabili
Non far elaborare a Cowork documenti da fonti sconosciute. I file possono contenere iniezioni di prompt invisibili tramite testo nascosto o trucchi Unicode.
Aggiornare i server MCP
Le vulnerabilità del server Git MCP dimostrano che i server MCP possono avere falle critiche. Usa sempre le versioni più recenti.
Usare ambienti sandboxed
Attiva il runtime sandbox di Claude Code o usa container Docker per un isolamento aggiuntivo oltre alla VM predefinita.
Proteggere i segreti
Conserva le chiavi API e i token nelle variabili d'ambiente, non nel codice sorgente o nei prompt. Tieni le credenziali fuori dai file di configurazione MCP quando possibile.
Limitare l'accesso alla rete
Usa allowlist di domini per le connessioni in uscita. Blocca gli URL arbitrari per impostazione predefinita per impedire l'esfiltrazione dei dati.
Usare regole di negazione
Configura regole Deny per le operazioni pericolose. Non autorizzare tutti gli strumenti MCP in blocco — approva ciascuno singolarmente.
Monitorare l'attività
Controlla il registro attività in tempo reale durante le sessioni. Fai attenzione ad accessi ai file imprevisti, richieste di rete insolite o pattern di comportamento anomali.
Applicare il minimo privilegio
Concedi solo i permessi minimi necessari per ogni attività. Revoca l'accesso al termine dell'operazione.
Mantenere i backup
Esegui il backup dei file importanti prima di far intervenire qualsiasi agente IA. La sandbox protegge il sistema operativo, ma non i dati nelle cartelle autorizzate.
Checklist sicurezza MCP
Misure di sicurezza specifiche per le integrazioni di server MCP (Model Context Protocol).
Installa solo server MCP da fonti verificate (pacchetti ufficiali Anthropic o sviluppatori affidabili)
Esamina il codice sorgente o la documentazione del server prima dell'installazione
Mantieni tutti i server MCP aggiornati — le patch di sicurezza vengono rilasciate frequentemente
Usa variabili d'ambiente per le chiavi API invece di inserirle direttamente in claude_desktop_config.json
Limita l'ambito di ogni server MCP al minimo necessario (es. limitare il server filesystem a directory specifiche)
Monitora i log dei server MCP per operazioni o pattern di accesso imprevisti
Rimuovi i server MCP inutilizzati dalla configurazione per ridurre la superficie di attacco
La sicurezza inizia con la consapevolezza.
Resta aggiornato sulle ultime pratiche di sicurezza per gli agenti IA. Configura il tuo spazio di lavoro secondo il principio di difesa in profondità.