SentinelOne amplia la propria strategia di cybersecurity basata sull’intelligenza artificiale con il lancio di Wayfinder Frontier AI Services, una nuova offerta progettata per affrontare uno dei problemi più critici della sicurezza moderna: distinguere le vulnerabilità teoriche da quelle realmente sfruttabili dagli attaccanti in ambienti operativi concreti.
La società introduce un approccio che integra modelli Frontier AI di ultima generazione, capacità di threat intelligence e specialisti di sicurezza offensiva e difensiva con l’obiettivo di anticipare le tecniche di exploit e interrompere le catene di attacco prima che possano essere completate. Il servizio debutta inizialmente con l’integrazione di Claude Security di Anthropic, basato su Claude Opus 4.7, e si collega direttamente alla piattaforma Singularity e all’intero ecosistema Wayfinder di SentinelOne.
Per SentinelOne, l’evoluzione dei frontier model sta accelerando il passaggio verso una cyber defense AI-native, nella quale rilevamento, correlazione degli eventi, prioritizzazione delle vulnerabilità e risposta agli incidenti vengono progressivamente affidati a sistemi autonomi capaci di operare a velocità macchina.
Dalla gestione delle CVE alla valutazione del rischio reale
L’annuncio arriva in una fase in cui l’intelligenza artificiale sta modificando profondamente il panorama della cybersecurity. Se da un lato le organizzazioni stanno adottando AI generativa e automazione per accelerare i processi di difesa, dall’altro gli attaccanti utilizzano già modelli avanzati per individuare vulnerabilità, analizzare codice e orchestrare campagne offensive con velocità e scalabilità sempre maggiori.
Per SentinelOne, il problema non riguarda più soltanto il numero crescente di vulnerabilità individuate, ma soprattutto la capacità di stabilire quali rappresentino un rischio concreto all’interno di uno specifico ambiente IT. Molte falle di sicurezza, pur essendo note, risultano infatti difficilmente sfruttabili nel contesto reale oppure sono già mitigate da protezioni runtime, cioè sistemi che bloccano comportamenti malevoli durante l’esecuzione delle applicazioni, controlli di configurazione e strumenti di sicurezza esistenti.
Il numero assoluto di vulnerabilità individuate, inoltre, raramente corrisponde in modo diretto al rischio operativo reale. In ambienti enterprise complessi, infatti, architetture difensive, segmentazione, controlli di identità, sistemi EDR, protezioni applicative e monitoraggio continuo possono ridurre in modo significativo la reale possibilità di sfruttamento.
Wayfinder Frontier AI Services nasce proprio per colmare questo divario operativo, spostando il focus da un modello centrato sulla semplice enumerazione delle vulnerabilità a un sistema in grado di valutare concretamente la possibilità di sfruttamento, le condizioni ambientali e le relazioni tra differenti esposizioni.
Il valore reale della cyber defense moderna, in questa prospettiva, non consiste soltanto nell’individuare vulnerabilità, ma nella capacità di comprendere le condizioni operative reali, definire le priorità corrette e bloccare attacchi concreti in ambienti infrastrutturali complessi, anche nel caso di minacce nuove o exploit zero-day.
“Il settore non ha bisogno di uno scanner potenziato che si limiti a generare report più lunghi. I clienti devono sapere quali delle loro vulnerabilità vengono effettivamente sfruttate in sequenza dagli aggressori nel loro ambiente e cosa fare al riguardo nell’immediato”, afferma Steve Stone, Chief Customer Officer di SentinelOne. “Wayfinder Frontier AI Service è stato progettato proprio per rispondere a questa esigenza. Stiamo mettendo al lavoro l’AI all’avanguardia e i nostri esperti più qualificati in materia di difesa e attacco, integrandoli direttamente con i sistemi di telemetria e i controlli di cui i clienti già si fidano, per fornire decisioni concrete, non solo semplici informazioni”.
AI, threat intelligence e specialisti umani nello stesso workflow
Dal punto di vista operativo, la nuova piattaforma introduce un modello continuo di collaborazione tra AI ed esperti umani lungo tutto il ciclo di gestione delle vulnerabilità, dalla fase di individuazione iniziale fino alla definizione delle priorità di remediation e all’interruzione dei percorsi di attacco.
SentinelOne collega questa strategia a un modello che definisce “machine speed defense”, basato su AI comportamentale, automazione e risposta autonoma, con l’obiettivo di rilevare, bloccare e gestire attacchi in tempo reale attraverso endpoint, cloud, identità, dati, rete e ambienti AI.
L’evoluzione della frontier AI sta accelerando la trasformazione delle operazioni di sicurezza verso modelli sempre più autonomi, adattivi e guidati dall’intelligence contestuale. Parallelamente, però, gli stessi strumenti consentono anche agli attaccanti di individuare vulnerabilità e costruire percorsi di exploit con velocità e scala crescenti.
Individuazione accelerata dall’AI
Una delle componenti centrali riguarda l’individuazione accelerata dall’AI. I modelli Frontier AI vengono utilizzati insieme ai team offensivi di SentinelOne per identificare vulnerabilità e percorsi di attacco complessi, incluse tecniche di supply chain compromise, cioè attacchi alla supply chain software nei quali viene compromesso un componente o una libreria utilizzata da più applicazioni, code injection, che consentono di inserire ed eseguire codice malevolo all’interno delle applicazioni, exploit zero-day e vulnerabilità riconducibili alla OWASP Top 10, il principale riferimento internazionale per le vulnerabilità più diffuse nella sicurezza applicativa.
L’obiettivo non è limitarsi alla scansione automatica del codice, ma comprendere come differenti debolezze possano essere concatenate all’interno di un attacco reale, valutando le possibili correlazioni tra configurazioni errate, esposizioni architetturali, vulnerabilità applicative e sistemi già presenti nell’ambiente del cliente.
Priorità definite in base alla sfruttabilità concreta
A questo si aggiunge un sistema di prioritizzazione contestuale basato sugli exploit. Ogni vulnerabilità viene analizzata considerando architettura, configurazioni, livello di esposizione dell’ambiente e controlli di sicurezza già presenti, così da stabilire quali problemi possano effettivamente essere sfruttati da un attaccante nel contesto reale.
Il servizio esegue inoltre una scansione proattiva dell’intero ambiente organizzativo per individuare esposizioni a livello architetturale e costruire una roadmap di correzione con priorità definite. In questo modo le organizzazioni possono concentrare le attività di remediation sui problemi realmente sfruttabili, evitando di disperdere risorse nella gestione indiscriminata di alert e CVE prive di impatto operativo immediato.
Interruzione delle catene di exploit
Un altro elemento distintivo riguarda la capacità di mappare intere catene di sfruttamento. Invece di trattare le vulnerabilità come entità isolate, Wayfinder Frontier AI Services ricostruisce i possibili percorsi di attacco end-to-end e suggerisce interventi mirati per interrompere la kill chain, cioè la sequenza di passaggi che porta dalla vulnerabilità iniziale alla compromissione completa del sistema, nei punti più critici.
Le raccomandazioni possono includere modifiche architetturali, hardening delle configurazioni, rafforzamento dei controlli di identità oppure l’attivazione di specifiche funzionalità della piattaforma Singularity.
L’approccio punta quindi a interrompere la sequenza di sfruttamento nel punto in cui il costo operativo per l’attaccante diventa più elevato, riducendo la possibilità che vulnerabilità differenti possano essere concatenate fino a generare un compromesso completo dell’infrastruttura.
Exposure management continuo
SentinelOne estende inoltre il concetto di exposure management continuo, cioè il monitoraggio costante delle superfici esposte e delle condizioni di rischio presenti nell’infrastruttura. Il monitoraggio riguarda endpoint, workload cloud, identità digitali, dati e ambienti AI, con aggiornamenti continui della postura di sicurezza in funzione dell’evoluzione delle minacce e delle modifiche infrastrutturali.
Vengono inoltre forniti suggerimenti operativi e piani di remediation continui, con l’obiettivo di mantenere aggiornata la postura di sicurezza man mano che ambienti, modelli AI e superfici di attacco evolvono, trasformando il servizio in una componente permanente della strategia di cyber defense e non in un’attività episodica di vulnerability assessment.
Integrazione con l’intero ecosistema Wayfinder
Wayfinder Frontier AI Services amplia il portfolio Wayfinder di SentinelOne, che comprende già Wayfinder Threat Hunting, Wayfinder MDR Essentials, Wayfinder MDR Elite e Wayfinder Incident Readiness & Response.
Le informazioni raccolte dal nuovo servizio vengono integrate con le attività di threat hunting, Managed Detection and Response e preparazione agli incidenti, trasformando i dati relativi alle esposizioni in capacità operative concrete e riducendo il tradizionale scollamento tra vulnerability management e incident response.
Un’architettura multi-model per la cyber defense
Dal punto di vista tecnologico, SentinelOne evidenzia l’adozione di un approccio multi-model. La piattaforma utilizza infatti diverse sorgenti AI e combina modelli differenti per compiti specifici, integrando Claude Opus 4.7 di Anthropic con ulteriori modelli avanzati impiegati nella ricerca sulla sicurezza applicata.
Questa architettura viene alimentata da differenti fonti informative, tra cui la telemetria, cioè i dati operativi raccolti dagli endpoint e dai workload cloud monitorati dalla piattaforma Singularity, oltre ai dati di threat intelligence provenienti da SentinelLABS e Google Threat Intelligence.
Il vantaggio competitivo, in questa visione, non deriverà dall’utilizzo di un singolo foundation model dominante, cioè un modello AI general-purpose di base, ma dalla capacità di orchestrare modelli diversi, intelligence contestuale e validazione umana all’interno di workflow operativi coerenti.
La logica alla base dell’offerta è che nessun singolo modello AI possa rappresentare da solo una soluzione definitiva per la cyber defense, soprattutto in uno scenario in cui tecniche offensive, strumenti di automazione e superfici di attacco evolvono con velocità crescente.
SentinelOne sostiene inoltre di utilizzare già internamente più modelli AI per analizzare continuamente la propria architettura tecnologica e individuare vulnerabilità o percorsi di attacco potenziali, adottando metodologie simili a quelle descritte recentemente da Anthropic nella documentazione tecnica relativa alle capacità cyber dei modelli Claude.
Queste attività vengono sottoposte a revisione continua anche a livello manageriale e rappresentano un elemento centrale della strategia di sviluppo sicuro della piattaforma.
La collaborazione con Anthropic, annunciata nei mesi precedenti, viene ora concretizzata direttamente nell’erogazione del servizio Wayfinder Frontier AI Services, trasferendo nella pratica operativa le attività di ricerca congiunta sviluppate tra le due aziende.
L’azienda invita inoltre a valutare l’evoluzione delle capacità offensive dei modelli AI sulla base di benchmark tecnici e attività di ricerca concrete, evitando interpretazioni costruite esclusivamente sull’hype generato dagli annunci commerciali.
Difesa proattiva contro exploit zero-day e supply chain attack
SentinelOne sottolinea inoltre che il modello di difesa proattiva basato sull’AI è già stato testato in scenari reali. Nel corso dell’ultimo trimestre, la piattaforma Singularity avrebbe bloccato autonomamente attacchi zero-day e compromissioni della supply chain che coinvolgevano componenti software ampiamente utilizzati, tra cui LiteLLM, Axios e CPU-Z, evidenziando anche i rischi associati ad agenti AI fidati e workflow automatizzati sempre più diffusi negli ambienti enterprise.
In scenari di questo tipo, la risposta autonoma “a velocità macchina” rappresenta uno dei pochi strumenti in grado di contrastare minacce che sfruttano vulnerabilità ancora sconosciute o prive di patch disponibili.
SentinelOne richiama inoltre le recenti valutazioni pubblicate dall’AI Security Institute, secondo cui molti benchmark utilizzati per testare le capacità offensive dei modelli AI risultano meno complessi degli ambienti enterprise reali, poiché privi di sistemi di monitoraggio attivo, strumenti EDR, controlli difensivi avanzati e team di sicurezza operativi.
L’istituto osserva inoltre che gli ambienti di valutazione spesso non penalizzano comportamenti che in infrastrutture reali genererebbero alert o attiverebbero meccanismi di risposta automatica, rendendo più difficile stimare con precisione l’efficacia dei modelli AI contro sistemi realmente protetti.
Secondo l’AI Security Institute, gli ambienti di valutazione privi di difese attive rischiano inoltre di non essere più sufficienti per misurare le reali capacità offensive dei modelli AI più avanzati. Le valutazioni citate indicano inoltre che molte capacità offensive osservate nei modelli più recenti risultavano già visibili nelle generazioni precedenti, con progressioni legate sia all’aumento della capacità computazionale sia a configurazioni meno restrittive dei guardrail.
Wayfinder Frontier AI Services rappresenta, in questa strategia, l’estensione di questo paradigma verso le fasi ancora più precoci del ciclo offensivo: individuare e neutralizzare le vulnerabilità che gli strumenti offensivi di nuova generazione potrebbero sfruttare in futuro, prima ancora che tali exploit vengano messi concretamente in circolazione.
