Il modello human-in-the-loop, l'umano che approva le mosse pi� delicate di un agente AI prima che venga eseguita, non � il punto di riferimento che il settore crede. A sostenerlo � Eric Brandwine, VP e distinguished engineer di Amazon Security, in un'intervista in cui smonta l'idea che basti mettere una persona nel ciclo decisionale per rendere sicuri gli agenti. Il punto � che le persone non reggono il compito. "Gli esseri umani non sono molto coerenti. L'human-in-the-loop non � necessariamente lo standard di riferimento", ha dichiarato Brandwine. Chi viene messo ad approvare richieste di agenti una dopo l'altra degrada in fretta: come ha raccontato a The Register, "all'inizio far� un buon lavoro. Poi un lavoro cos� cos�. E molto presto lo far� male". Amazon ha un nome per questo fenomeno, la normalizzazione della devianza: l'erosione progressiva dell'attenzione quando una verifica diventa routine. Brandwine la illustra con le sale d'emergenza ospedaliere, dove gli infermieri smettono di reagire agli allarmi dopo una sequenza di falsi positivi. "C'� letteralmente in gioco la vita di qualcuno, e le persone faticano comunque a mantenere la disciplina. � la condizione umana", osserva. Non � un concetto nuovo nel suo repertorio: ne aveva parlato in un talk all'AWS re:Invent del 2017, e oggi lo applica agli agenti. La proposta: accountability fino in fondo L'alternativa che Amazon mette sul tavolo � un'accountability end to end. Invece di un umano che fa da timbro, ogni agente riceve un'identit� propria e i log registrano "questo agente ha fatto X per conto di Eric", non "Eric ha fatto X". La responsabilit� resta tracciabile fino alla persona, senza pretendere che quella persona approvi manualmente ogni passaggio. A reggere il sistema � una struttura di policy a tre livelli: guardrail statici che vietano in assoluto certe azioni distruttive, un set massimo di privilegi assegnato a ciascun agente, e policy dinamiche generate in base al task specifico e all'intenzione dell'utente. Sopra tutto pesa una tensione senza soluzione unica: chi usa l'agente lo vuole con permessi ampi per renderlo pi� utile, i team di sicurezza li vogliono ristretti. La risposta, ammette Brandwine, dipende dal ruolo e dalla tolleranza al rischio. Gli agenti che si incaponiscono C'� poi un rischio specifico degli agenti che Amazon chiama goal-seeking behavior. Un agente incaricato di aggiornare un database pu� fissarsi sulla scorciatoia distruttiva di cancellarlo e ricrearlo, non per un attacco di prompt injection ma perch� si blocca sul percorso sbagliato. La contromisura si � rivelata controintuitiva: invece di negare il permesso e basta, conviene spiegare all'agente il perch�, per esempio che l'azione �causerebbe un impatto in produzione�, e inserire l'istruzione direttamente nel prompt. "Dare quel feedback in pi� ci ha portato risultati nettamente migliori", riferisce Brandwine. Sotto c'� una differenza che lui considera dirimente: gli esseri umani temono le conseguenze, perdere il lavoro o finire in prigione, gli agenti no. E gli attaccanti stanno gi� sfruttando questo scarto. "Abbiamo millenni di esperienza con gli esseri umani. L'AI agentica � un campo nuovissimo", nota. La posizione di Amazon non � isolata. In aprile il COO di Google Cloud Francis deSouza aveva descritto il passaggio del settore a una difesa "AI-led" supervisionata dagli umani, con una flotta di agenti sul lavoro di routine. Questa settimana il CEO di Microsoft Satya Nadella ha rilanciato su X il concetto di "loop learning", sistemi che migliorano a ogni uso anzich� farsi interrompere da un checkpoint umano a ogni passaggio, mentre IBM ha chiesto "human accountability" in ogni fase, bollando l'human-in-the-loop come "liability laundering", un modo per scaricare la responsabilit�. Che il tema sia caldo lo dice anche il mercato: questo mese 1Password ha acquisito la startup di access governance Apono per una cifra stimata tra 250 e 300 milioni di dollari.