Interviste

Harold Byun, CEO di BlueRock – Serie di interviste

mm
Published

Harold Byun, CEO di BlueRock, è un veterano esecutivo di tecnologia aziendale con una profonda esperienza in cybersecurity, piattaforme SaaS, sicurezza cloud e leadership di prodotti aziendali. Prima di diventare CEO ad aprile 2026, ha ricoperto il ruolo di Chief Product Officer, dove ha aiutato a definire la direzione di BlueRock intorno alla sicurezza e all’osservabilità dell’intelligenza artificiale agente. Prima di unirsi a BlueRock, Byun ha ricoperto ruoli di leadership senior in AppOmni, ServiceNow, Skyhigh Networks, Symantec e Citrix dopo l’acquisizione di Zenprise. In questi ruoli, ha costruito una reputazione per aver aiutato le aziende a proteggere ambienti cloud e dati sempre più complessi, un’esperienza che ora si allinea direttamente con le sfide di sicurezza emergenti intorno agli agenti di intelligenza artificiale autonomi e ai protocolli di contesto del modello (MCP).

BlueRock si concentra sulla sicurezza dello strato di esecuzione dei sistemi di intelligenza artificiale agente, un’area che sta diventando sempre più critica poiché le aziende distribuiscono agenti di intelligenza artificiale autonomi in grado di interagire con strumenti, API, codebase e dati aziendali sensibili. L’azienda sviluppa tecnologie di sicurezza e osservabilità progettate per monitorare, sandbox e applicare guardrail al comportamento degli agenti, in particolare all’interno di ambienti basati su MCP. La piattaforma di BlueRock enfatizza la visibilità e la protezione dello strato di esecuzione al runtime, anziché affidarsi solo a salvaguardie a livello di prompt, riflettendo un più ampio cambiamento dell’industria verso la sicurezza di come gli agenti di intelligenza artificiale agiscono, e non solo di ciò che dicono. Mentre le organizzazioni si spostano dall’esperimentazione con l’intelligenza artificiale verso flussi di lavoro autonomi in produzione, aziende come BlueRock si stanno posizionando al centro di ciò che potrebbe diventare una nuova categoria importante all’interno della sicurezza aziendale.

Hai trascorso anni nel cloud, SaaS, prevenzione della perdita di dati (DLP) e sicurezza aziendale in aziende come AppOmni, Symantec, ServiceNow e Skyhigh Networks. Cosa ti ha convinto che la sicurezza del runtime per gli agenti di intelligenza artificiale sarebbe diventata la prossima grande categoria di sicurezza?

Cosa è diventato ovvio per me è che l’intelligenza artificiale cambia dove si verificano effettivamente i rischi operativi e la complessità. Nel software tradizionale, la maggior parte del comportamento è definita prima della distribuzione. Nei sistemi agenti, il comportamento emerge sempre più durante l’esecuzione attraverso prompt, contesto, strumenti, API, server MCP e interazioni a valle.

Ciò crea un modello operativo molto diverso. Una volta che gli agenti possono prendere decisioni dinamiche e azioni attraverso sistemi, le organizzazioni perdono la chiara visibilità e la comprensione operativa su cui hanno fatto affidamento per anni.

Ho visto cambiamenti di piattaforma simili in precedenza nella sicurezza cloud e SaaS, dove l’infrastruttura è evoluta più velocemente dei sistemi utilizzati per gestirla. L’intelligenza artificiale sta creando un altro di quei momenti. La sfida a lungo termine non è solo la sicurezza del modello. È consentire alle organizzazioni di operare sistemi agenti in modo sicuro su larga scala.

La categoria che alla fine conta sarà quella che aiuta le organizzazioni a capire cosa gli agenti stanno effettivamente facendo in produzione e dà loro la fiducia di scalare le operazioni native di intelligenza artificiale in modo responsabile.

BlueRock parla del “Divario di esecuzione agente”, dove le organizzazioni perdono la visibilità una volta che gli agenti iniziano ad agire in modo autonomo al runtime. Perché gli strumenti di osservabilità e sicurezza tradizionali falliscono in questi ambienti?

Gli strumenti di osservabilità e sicurezza tradizionali sono stati progettati per sistemi deterministici con percorsi di esecuzione relativamente prevedibili. Si assumono che gli sviluppatori conoscano in gran parte come le applicazioni debbano comportarsi prima di eseguirle.

I sistemi agenti rompono quell’assunzione.

Gli agenti possono scoprire dinamicamente strumenti, invocare server MCP, concatenare flussi di lavoro, interagire con API e prendere decisioni in tempo reale. Il percorso di esecuzione spesso emerge durante il runtime.

La maggior parte degli strumenti esistenti cattura frammenti come log, tracce, telemetria o output del modello. Ma le organizzazioni hanno sempre più bisogno di una comprensione causale lungo l’intero percorso di esecuzione: perché un agente ha selezionato uno strumento, quale contesto ha influenzato la decisione, quali sistemi a valle sono stati toccati e quali azioni sono state eseguite come risultato.

Questo è il Divario di esecuzione agente. L’esecuzione è diventata dinamica, ma i modelli di visibilità e controllo non sono evoluti di pari passo.

Un numero crescente di aziende sta sperimentando architetture basate su Model Context Protocol (MCP) e flussi di lavoro di intelligenza artificiale autonomi. Quali sono i più grandi malintesi di sicurezza che le organizzazioni ancora hanno su server MCP e sistemi agenti?

MCP sta diventando rapidamente un’infrastruttura fondamentale per come gli agenti di intelligenza artificiale scoprono, si connettono e interagiscono con strumenti, sistemi e dati aziendali.

Cosa rende MCP importante è che riduce drasticamente l’attrito tra sistemi di intelligenza artificiale e ambienti operativi. Aumenta la velocità degli sviluppatori e sblocca flussi di lavoro potenti, ma espande anche notevolmente il numero di percorsi di esecuzione che gli agenti possono prendere attraverso i sistemi aziendali.

In molti casi, le organizzazioni potrebbero già avere strumenti di intelligenza artificiale che interagiscono con servizi connessi a MCP senza comprendere appieno l’esposizione operativa a valle che viene creata.

Un altro malinteso è che controllare i prompt o i modelli sia sufficiente. Nella pratica, i rischi più grandi emergono dopo che il modello prende una decisione. Una volta che gli agenti possono invocare strumenti, eseguire flussi di lavoro, recuperare dati sensibili o interagire con l’infrastruttura, la sfida si sposta verso il comportamento al runtime e il controllo dell’esecuzione.

La superficie operativa sta crescendo molto più velocemente di quanto la maggior parte dei modelli di governance e osservabilità sia stata progettata per gestire.

La ricerca di BlueRock ha trovato gravi vulnerabilità in server MCP pubblici, tra cui Server-Side Request Forgery (SSRF) e esposizione di iniezione di comandi. Le aziende sottovalutano quanto rapidamente gli ecosistemi MCP potrebbero diventare una nuova superficie di attacco della catena di approvvigionamento del software?

Sì. Credo che l’industria sia ancora alle prime fasi di comprensione di quanto importante potrebbe diventare l’ecosistema MCP dal punto di vista della catena di approvvigionamento e della fiducia operativa. Ad esempio, oltre il 36% dei 11.000 server MCP che abbiamo analizzato hanno vulnerabilità di SSRF non vincolate. La maggior parte delle persone nell’industria non capisce che ciò apre effettivamente l’intera rete dal punto di vista dell’accesso ai dati. Ciò non sarebbe mai stato consentito in quasi ogni ambiente aziendale del mondo oggi.

Storicamente, le organizzazioni si sono preoccupate delle librerie, dei contenitori e delle dipendenze open source perché questi componenti diventavano parte dello stack di software prima della distribuzione. MCP cambia quel modello. Gli agenti possono ora scoprire e interagire dinamicamente con strumenti e servizi esterni durante l’esecuzione stessa. E, in molti casi, gli sviluppatori e l’azienda hanno semplicemente proceduto e distribuito MCP senza comprendere o valutare i rischi. Ciò crea un problema di fiducia molto diverso.

Le organizzazioni non gestiscono più solo dipendenze statiche. Stanno gestendo sempre più dipendenze dinamiche di esecuzione che emergono mentre i sistemi sono in esecuzione. Gli agenti possono invocare strumenti, concatenare flussi di lavoro o accedere a sistemi a valle in modi che gli operatori non anticipano o osservano appieno.

La nostra ricerca su SSRF, iniezione di comandi e altre vulnerabilità riflette quanto parti immature dell’ecosistema ancora siano. Ma il problema più grande è più ampio delle singole vulnerabilità. Man mano che l’adozione di MCP accelera, le organizzazioni avranno bisogno di una visibilità molto più approfondita su come i sistemi autonomi interagiscono con servizi esterni durante l’esecuzione.

La tua piattaforma enfatizza l'”osservabilità agente” anziché solo monitorare i prompt o gli output. Cosa significa effettivamente la visibilità al runtime una volta che gli agenti prendono decisioni dinamiche attraverso strumenti, API e infrastrutture?

La visibilità al runtime significativa richiede la comprensione dell’intero percorso di esecuzione, non solo eventi isolati.

Le organizzazioni devono vedere come una decisione del modello si traduce in azioni attraverso strumenti, server MCP, API, infrastrutture e sistemi a valle. Ciò significa capire perché un agente ha selezionato uno strumento, quale contesto ha influenzato la decisione, quali autorizzazioni sono state utilizzate, quali azioni a valle sono state scatenate e quale esito operativo è stato creato.

Ciò diventa particolarmente importante poiché gli agenti operano attraverso ambienti distribuiti ed effimeri dove il monitoraggio tradizionale si frammenta rapidamente.

Il monitoraggio dei prompt da solo non è sufficiente perché i prompt non spiegano il comportamento operativo. Gli output non sono sufficienti perché non rivelano quali sistemi sono stati impattati a valle.

Il futuro dell’osservabilità nei sistemi agenti è consapevole dell’esecuzione. È capire il comportamento dalla decisione all’azione al risultato in tempo reale.

Il motore di fiducia di BlueRock sembra attaccare dati di identità, fiducia e capacità direttamente ai flussi di esecuzione in tempo reale. Quanto importante diventerà la fiducia contestuale man mano che gli agenti di intelligenza artificiale interagiscono sempre più con strumenti e sistemi esterni in modo autonomo?

La fiducia contestuale diventa fondamentale nei sistemi agenti perché gli agenti prendono decisioni dinamicamente al runtime.

I sistemi tradizionali si basavano fortemente su assunzioni di fiducia statiche. Ma gli agenti operano sempre più attraverso contesti in evoluzione, strumenti esterni, API, server MCP, identità e autorizzazioni.

Le organizzazioni devono valutare la fiducia continuamente durante l’esecuzione stessa. Non solo se un modello è sicuro, ma se lo strumento invocato è attendibile, se l’azione richiesta corrisponde al comportamento previsto e quale rischio operativo l’azione introduce.

È per questo che crediamo che il contesto di fiducia diventi un’infrastruttura critica per la prossima generazione di sistemi di intelligenza artificiale.

Stiamo vedendo un’adozione rapida di agenti di codifica di intelligenza artificiale e flussi di lavoro di sviluppo autonomi. Quali sono i rischi più preoccupanti quando gli agenti acquisiscono la capacità di modificare l’infrastruttura, distribuire codice o interagire con sistemi di produzione senza revisione umana?

Il più grande cambiamento è che le organizzazioni stanno cercando di aumentare drasticamente la velocità di sviluppo abilitando molte più persone a costruire con l’intelligenza artificiale, non solo gli ingegneri software tradizionali.

Gli agenti di codifica di intelligenza artificiale possono già generare codice, modificare l’infrastruttura, interagire con pipeline CI/CD, invocare servizi cloud e accedere a sistemi sensibili. Il vantaggio di produttività è enorme perché le aziende possono ora sbloccare sia gli sviluppatori esperti che una nuova generazione di sviluppatori nativi di intelligenza artificiale e cittadini.

La sfida è che la complessità operativa cresce altrettanto rapidamente. La preoccupazione non è solo il comportamento malintenzionato. È l’impatto avverso che un agente può avere, causando interruzioni del prodotto e influenzando la disponibilità dei dati e dell’infrastruttura per un’azienda. Questo tipo di comportamento fuori controllo è simile al problema del bucket S3 pubblico di un decennio fa. Ci aspettiamo che gli agenti si comportino. Ci aspettiamo che vengano applicate guardrail e controlli. Ma ci sono percorsi per un comportamento non intenzionale, autorizzazioni eccessive, dipendenze nascoste, utilizzo di strumenti non sicuri o percorsi di esecuzione che nessuno ha anticipato. E ciò risulterà in più interruzioni o distribuzioni sottottimizzate in cui le persone diventano spingitori di pulsanti e il ROI non viene completamente realizzato.

Le organizzazioni hanno bisogno di visibilità operativa e controlli consapevoli dell’esecuzione che si muovono con il carico di lavoro in modo che possano scalare lo sviluppo nativo di intelligenza artificiale senza rallentare l’innovazione.

Molte organizzazioni pensano ancora alla sicurezza dell’intelligenza artificiale principalmente attraverso la lente della sicurezza del modello e dell’iniezione di prompt. Perché credi che l’industria debba ora spostarsi verso la sicurezza delle azioni e dei percorsi di esecuzione?

La sicurezza del modello e l’iniezione di prompt assolutamente contano, ma rappresentano solo parte della sfida.

L’industria sta passando da sistemi che generano risposte a sistemi che prendono azioni. Una volta che gli agenti possono invocare strumenti, modificare sistemi, recuperare dati sensibili, eseguire flussi di lavoro o interagire con l’infrastruttura, il rischio operativo si sposta verso il comportamento dell’esecuzione.

Un modello perfettamente allineato può ancora creare rischi se invoca lo strumento sbagliato, accede al sistema sbagliato o scatena azioni a valle non intenzionali. È per questo che la sicurezza dei prompt da sola è insufficiente. E ci saranno sempre approcci nuovi per bypassare queste tipologie di guardrail dei prompt. Sarà un gioco costante di gatto e topo.

Le organizzazioni devono riconoscere che queste guardrail verranno bypassate e che, quando lo faranno, l’impatto avverso potenziale sarà più alto nel percorso di esecuzione. Di conseguenza, hanno sempre più bisogno di visibilità e controllo lungo l’intero percorso di esecuzione e l’impatto operativo del comportamento degli agenti in tempo reale.

Alcuni ricercatori hanno paragonato l’adozione di MCP a dare ai sistemi di intelligenza artificiale una “porta USB universale” nell’infrastruttura aziendale. Come dovrebbero le aziende bilanciare il vantaggio di produttività enorme degli agenti connessi con i rischi operativi che introducono?

Il vantaggio di produttività è reale. MCP semplifica drasticamente come gli agenti si connettono a strumenti, sistemi e flussi di lavoro, ed è una delle ragioni per cui l’adozione sta accelerando così rapidamente.

Ma le organizzazioni dovrebbero evitare di pensare a MCP solo come un livello di connettività. Effettivamente diventa parte del tessuto operativo dell’azienda.

L’equilibrio deriva dall’abilitare gli sviluppatori e i costruttori nativi di intelligenza artificiale a muoversi rapidamente mentre mantengono la visibilità e il controllo consapevoli dell’esecuzione.

Ciò significa comprendere la sicurezza dell’implementazione del server MCP stesso, il che è il motivo per cui abbiamo costruito il registro mcp-trust.com. E significa comprendere quali server MCP gli agenti stanno interagendo, quali tipi di strumenti quei server espongono, quali autorizzazioni vengono concesse e come le azioni si propagano durante l’esecuzione.

Le organizzazioni che avranno successo saranno quelle che costruiranno la fiducia operativa intorno all’esecuzione autonoma.

Guardando avanti, cosa assomiglia uno stack di sicurezza dell’intelligenza artificiale aziendale maturo in un mondo in cui gli agenti autonomi collaborano regolarmente, prendono decisioni ed eseguono compiti attraverso più sistemi in produzione?

Credo che lo stack di intelligenza artificiale aziendale maturo diventi molto più centrato sull’esecuzione.

Le organizzazioni avranno ancora bisogno di sicurezza del modello, identità, protezione dei dati e sicurezza dell’infrastruttura. Ma il più grande cambiamento è che le aziende avranno bisogno di sistemi operativi progettati per software autonomi e non deterministici.

Man mano che gli agenti collaborano sempre più, prendono decisioni e agiscono attraverso strumenti, infrastrutture e flussi di lavoro aziendali, le organizzazioni avranno bisogno di una visibilità continua su come i sistemi di intelligenza artificiale si comportano effettivamente durante l’esecuzione.

Lo stack del futuro combinerà l’osservabilità, il contesto di fiducia, la governance operativa, l’applicazione delle politiche consapevoli dell’esecuzione, l’identità e la sicurezza al runtime in un livello operativo unificato per i sistemi agenti.

Le organizzazioni che avranno successo saranno quelle che potranno comprendere e operativizzare continuamente l’esecuzione autonoma senza rallentare l’innovazione.

Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare BlueRock.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.