La sicurezza degli agenti AI autonomi rappresenta una delle sfide più urgenti per le aziende che vogliono delegare compiti complessi a sistemi basati su intelligenza artificiale. Brex, il noto unicorno fintech, ha sviluppato una soluzione innovativa chiamata CrabTrap, un proxy HTTP/HTTPS open source che intercetta tutto il traffico di rete degli agenti e decide, con l'aiuto di un giudice basato su LLM, quali richieste autorizzare o bloccare. L'approccio si distacca dalle tradizionali barriere a livello di SDK o modello, spostando il controllo sul piano di trasporto di rete.
Un punto di enforcement finora trascurato: il layer di trasporto
Secondo Pedro Franceschi, co-fondatore e CEO di Brex, il layer di rete era un punto di enforcement inesplorato. Ogni richiesta di un agente rappresenta un'opportunità per intercettare, ragionare e prendere una decisione di policy. Le soluzioni esistenti, come token API granulari o guardrail semantici, si sono rivelate deboli: i token possono essere abusati, mentre i guardrail semantici sono vulnerabili a injection di prompt, specialmente quando gli agenti sono connessi a Internet. Brex ha quindi deciso di costruire una piattaforma che si posizionasse tra ogni agente e ogni richiesta di rete, operando in modo indipendente dal framework, dal linguaggio e dall'API. Basta impostare le variabili d'ambiente HTTP_PROXY e HTTPS_PROXY per far sì che tutto il traffico passi attraverso CrabTrap.
Sponsored Protocol
Il giudice LLM e il bootstrap delle policy dal comportamento reale
CrabTrap combina regole statiche deterministiche con un giudice LLM che interviene solo sul 3% delle richieste, quelle verso endpoint sconosciuti o pattern anomali. La vera innovazione, però, è il metodo di creazione delle policy: invece di scrivere regole a priori, Brex ha sviluppato un costruttore di policy che analizza il traffico storico degli agenti in modalità shadow, campiona le chiamate rappresentative e redige una policy in linguaggio naturale basata sul comportamento effettivo. Questo approccio, definito bootstrap da osservazione, si è rivelato molto più efficace che partire da una pagina bianca.
Sponsored Protocol
Per verificare le policy prima del deploy, Brex ha creato un sistema di valutazione che confronta le voci di audit storiche con la policy proposta, segnalando le modifiche esatte. Il replay di migliaia di richieste richiede minuti, non ore, grazie a chiamate concorrenti del giudice. Inoltre, un ciclo di feedback live memorizza i log in PostgreSQL e notifica un umano o un agente in caso di denial continui, chiudendo il cerchio tra osservazione e perfezionamento.
Sfide tecniche: latenza e injection di prompt
La latenza era una preoccupazione iniziale, ma l'uso di modelli veloci come Claude Haiku e l'attivazione selettiva del giudice su una frazione minima di richieste hanno reso l'overhead trascurabile. La sfida più ostica è stata la protezione da prompt injection: il giudice riceve l'intera richiesta HTTP, inclusi URL, header e corpo controllati dall'utente. Brex ha risolto strutturando la richiesta come oggetto JSON, escapando tutto il contenuto controllato dall'utente prima di inviarlo al modello.
Sponsored Protocol
Risultati e impatto organizzativo
L'impatto più significativo di CrabTrap è stata la fiducia organizzativa. Prima del suo sviluppo, il team esitava a distribuire agenti autonomi su larga scala. Ora dispongono di un layer di enforcement affidabile che ha permesso di espandere l'uso degli agenti in più aree del business. Inoltre, i log hanno rivelato quanto rumore generano gli agenti, permettendo di ottimizzare gli strumenti e ridurre le richieste inutili, risparmiando tempo e token. Il proxy è diventato uno strumento di scoperta, non solo di controllo.
Sponsored Protocol
CrabTrap è stato rilasciato come open source su GitHub e ha già raccolto oltre 700 stelle. Brex prevede di integrarlo con autenticazione SSO, RBAC, flussi di escalation e configurazione programmatica. La community open source è chiamata a contribuire, specialmente per casi d'uso con diversi agenti e policy. Come ha affermato Franceschi, non bisogna lasciare che le lacune infrastrutturali diventino scuse per aspettare. Costruire soluzioni interne come CrabTrap può fare la differenza. Per approfondire il panorama dell'AI enterprise, leggi il nostro articolo su come la Cina accelera sull'AI mentre l'Europa resta a guardare. Per ulteriori dettagli tecnici sui proxy, consulta Wikipedia.