What is agent-to-agent communication spoofing?

Agent-to-agent communication spoofing occurs when an attacker impersonates one AI agent to send fabricated messages to another agent in a multi-agent system. Because most multi-agent frameworks do not authenticate messages between agents, a downstream agent has no way to verify that a message actually came from the agent it claims to be from. The attacker can approve unauthorized actions, override safety checks, or redirect workflows by sending messages that appear to originate from a trusted agent in the chain.

How is inter-agent security different from traditional API security?

Traditional API security assumes that authenticated endpoints are operated by deterministic software that behaves predictably. Inter-agent communication involves non-deterministic AI systems that interpret messages contextually, meaning an attacker does not need to match an exact API schema but can instead use natural language to influence agent behavior. Additionally, multi-agent systems often use shared communication channels where any registered agent can broadcast messages, creating a larger attack surface than point-to-point API calls.

Spoofing della comunicazione da agente ad agente

Intercept and identify spoofed messages between AI agents in a multi-agent workflow before fabricated instructions cause damage.

Cos’è Spoofing della comunicazione da agente ad agente?

La comunicazione tra agenti non sicura è classificata ASI07 nella Top 10 OWASP per le applicazioni Agentic AI 2026 perché i sistemi multi-agente, in cui agenti specializzati collaborano per completare attività complesse, stanno rapidamente diventando l'architettura standard per le implementazioni di intelligenza artificiale aziendale, ma la maggior parte delle implementazioni manca di un'autenticazione di base dei messaggi tra agenti. Quando gli agenti comunicano attraverso canali non verificati, gli aggressori possono falsificare le identità degli agenti, manomettere i messaggi in transito e iniettare istruzioni fittizie che gli agenti a valle eseguono senza chiedere spiegazioni. Un rapporto del 2025 dell'AI Red Team di MITRE ha documentato attacchi di spoofing di agenti riusciti contro tre principali framework multi-agente, rilevando che nessuno dei framework testati ha implementato la verifica crittografica dei messaggi tra agenti per impostazione predefinita. In questo esercizio monitorerai un flusso di lavoro multi-agente in cui un agente di pianificazione assegna attività agli agenti di esecuzione. Il sistema elabora le transazioni finanziarie: un agente convalida le richieste, un altro verifica la conformità e un terzo esegue i trasferimenti. Un utente malintenzionato identifica che gli agenti comunicano tramite un bus di messaggi condiviso senza autenticazione e inizia a inserire messaggi falsificati che sembrano provenire dall'agente di conformità, approvando i trasferimenti che avrebbero dovuto essere contrassegnati. Analizzerai il flusso di messaggi tra gli agenti, identificherai quali messaggi sono legittimi e quali sono falsificati e determinerai in che modo la mancanza di autenticazione dell'agente ha consentito l'attacco. Questo esercizio dimostra perché la sicurezza multi-agente richiede lo stesso rigore della sicurezza di rete tradizionale, con canali autenticati, verifica dell'integrità dei messaggi e limiti di fiducia tra i componenti dell'agente.

Cosa imparerai in Spoofing della comunicazione da agente ad agente

Identificare i rischi per la sicurezza inerenti alle architetture di comunicazione multi-agente prive di autenticazione dei messaggi e verifica dell'identità dell'agente
Analizza i flussi di messaggi tra agenti per distinguere le comunicazioni legittime degli agenti dai messaggi falsificati o manomessi
Tracciare come un utente malintenzionato di tipo man-in-the-middle sfrutta i canali di comunicazione degli agenti non autenticati per iniettare istruzioni fittizie
Valuta l'efficacia della firma crittografica dei messaggi, dell'autenticazione reciproca e dei canali sicuri come difese per i sistemi multi-agente
Applica i principi di progettazione dei limiti di fiducia alle architetture multi-agente per contenere l'impatto di un agente compromesso o falsificato

Spoofing della comunicazione da agente ad agente — Fasi della formazione

Infiltrazione di rete

Bob è stato sulla rete interna di CypherPeak per tre giorni, utilizzando le credenziali VPN di un appaltatore rubato. Durante la mappatura dell'infrastruttura, ha scoperto qualcosa di fondamentale: gli agenti AI dell'azienda comunicano attraverso un bus di messaggi interno che funziona su HTTP semplice sulla porta 8443: nessuna crittografia, nessuna autenticazione, completamente leggibile da chiunque abbia accesso alla rete.
Sondaggio dell'autobus

Bob apre uno strumento di test API per inviare un messaggio di prova direttamente al bus dei messaggi. Utilizza l'endpoint e il formato che ha appreso dal traffico intercettato. Se il bus accetta un messaggio con un'identità del mittente fittizia e zero credenziali, conferma che la vulnerabilità è sfruttabile.
Autenticazione zero

Il bus ha restituito HTTP 200 senza alcuna verifica di autenticazione. Il messaggio di prova è stato accettato e recapitato nonostante non avesse credenziali, certificato e firma. Ogni campo di sicurezza nella risposta conferma che il bus esegue la verifica zero.
Creazione del carico utile

Con la vulnerabilità confermata, Bob prepara il messaggio falsificato. Impersona l'agente dell'orchestrator e ordina all'esportatore di dati di eseguire il mirroring di tutti i record dei clienti elaborati su un endpoint FTP controllato da Bob.
Invio del messaggio falsificato

Bob torna al tester API. L'endpoint del bus e il metodo POST sono ancora configurati dal probe. Incolla il payload JSON contraffatto nel corpo della richiesta e lo invia.
La direttiva contraffatta

L'autobus ha accettato il messaggio falsificato senza alcuna sfida di autenticazione, proprio come la sonda. La risposta conferma che la direttiva contraffatta è stata consegnata all'Esportatore di dati, impersonando l'Orchestratore.
Elaborazione di routine

Alice sta monitorando il ciclo di elaborazione batch pomeridiano. Un'e-mail dal responsabile della piattaforma dati conferma che la pipeline dei dati del cliente sta eseguendo il batch pianificato.
La pipeline di dati

Alice apre il dashboard della pipeline dell'agente. La pipeline è composta da cinque agenti AI disposti in una catena. L'orchestratore coordina il flusso di lavoro, l'inserimento dei dati estrae i record dei clienti, il responsabile del trattamento dei dati li normalizza, lo scanner di conformità convalida rispetto alle regole sulla privacy e l'esportatore di dati invia i dati elaborati ai sistemi di analisi a valle.
Flusso normale dei messaggi

I messaggi iniziano a fluire attraverso la pipeline durante l'elaborazione batch. Ogni agente invia un aggiornamento dello stato all'agente successivo nella catena. Gli indicatori verdi di autenticazione su ciascun messaggio confermano che sono stati inviati attraverso canali verificati e firmati.
La direttiva contraffatta

Nel feed attività viene visualizzato un nuovo messaggio, ma qualcosa è diverso. Dichiara di provenire dall'orchestrator e ordina all'esportatore di dati di eseguire il mirroring di tutti i record elaborati su un endpoint di backup esterno prima dell'esportazione standard. L'esportatore di dati accetta l'istruzione e inizia a trasmettere i dati del cliente al server non autorizzato.

Cos’è Spoofing della comunicazione da agente ad agente?

Cosa imparerai in Spoofing della comunicazione da agente ad agente

Spoofing della comunicazione da agente ad agente — Fasi della formazione

Infiltrazione di rete

Sondaggio dell'autobus

Autenticazione zero

Creazione del carico utile

Invio del messaggio falsificato

La direttiva contraffatta

Elaborazione di routine

La pipeline di dati

Flusso normale dei messaggi

La direttiva contraffatta