Microsoft rilascia RAMPART e Clarity: red teaming open-source per agenti AI
Microsoft annuncia due strumenti open-source per testare la sicurezza degli agenti AI prima del deployment. RAMPART è Pytest-native, Clarity agisce pre-codice.
Contenuto
Il 20 maggio 2026 Microsoft ha annunciato il rilascio open-source di due strumenti — RAMPART e Clarity — progettati per integrare test di sicurezza e riflessione progettuale nelle fasi iniziali dello sviluppo di agenti AI. La mossa segna un passaggio esplicito dallo "shift-left" tradizionale del software a uno "shift-left per l'AI agentic", dove la sicurezza non è più una verifica postuma ma un artefatto che accompagna l'ingegnere dalla progettazione alla build. La notizia arriva con un caveat rilevante: i repository non sono ancora verificabili indipendentemente e la toolchain deve ancora confrontarsi con la validazione della community.
- RAMPART è un framework Pytest-native per scrivere ed eseguire test di sicurezza e safety su agenti AI, coprendo sia issue avversariali che benigne.
- Clarity funziona a monte come "sounding board" strutturato per il threat modeling pre-codice, guidando squadre attraverso problem clarification, solution exploration, failure analysis e decision tracking.
- RAMPART si basa su PyRIT, rilasciato da Microsoft oltre due anni prima, ma inverte la logica temporale: test durante la costruzione, non scoperta black-box dopo.
- La licenza open-source esatta e la disponibilità immediata dei repository GitHub non sono confermate nelle fonti disponibili al momento.
Da PyRIT a RAMPART: il red teaming diventa build-time
Il nucleo tecnico della mossa Microsoft è RAMPART, acronimo di Risk Assessment and Measurement Platform for Agentic Red Teaming. Descritto come framework "Pytest-native", si inserisce direttamente nel flusso di sviluppo esistente degli ingegneri che già utilizzano Python per i test unitari. L'elemento distintivo non è la novità del linguaggio — Pytest domina già l'ecosistema — ma la specializzazione: RAMPART è costruito per attaccare, sondare e valutare agenti AI autonomi, non API REST o modelli batch.
Le categorie di test esplorabili includono cross-prompt injections, dove dati non attendibili raggiungono l'agente indirettamente attraverso email, file o pagine web; regressioni comportamentali non intenzionali introdotte da aggiornamenti; e data exfiltration. Ogni test case richiede un adapter che connetta l'agente specifico al suite di test, elemento che suggerisce una modularità intenzionale ma anche un overhead di integrazione non quantificabile nelle fonti disponibili.
RAMPART eredita la genealogia da PyRIT, il Python Risk Identification Tool rilasciato da Microsoft oltre due anni prima. La differenza architetturale è tuttavia sostanziale: mentre PyRIT è ottimizzato per la scoperta black-box da parte di ricercatori in sicurezza su sistemi già costruiti, RAMPART è pensato per gli ingegneri "while the system is being built". La distinzione non è meramente temporale: implica un cambio di paradigma dal red teaming come attività esterna specializzata a una pratica ingegneristica quotidiana, trasformando i learnings del red teaming in asset eseguibili e riproducibili.
"Where PyRIT is optimized for black-box discovery by security researchers after the system is built, RAMPART is built for engineers as the system is being built" — Ram Shankar Siva Kumar, fondatore dell'AI Red Team di Microsoft
Clarity: il threat modeling prima del primo commit
Se RAMPART agisce durante la scrittura del codice, Clarity si posiziona ancora più a monte, nella fase dove le decisioni architetturali sono ancora plastiche e i costi del cambiamento sono contenuti. Microsoft la descrive come "structured sounding board" e "AI thinking partner that pushes back": non un generatore di requisiti passivo, ma un interlocutore progettuale che sfida le assunzioni del team.
Il flusso di lavoro copre quattro fasi — problem clarification, solution exploration, failure analysis, decision tracking — con un'ambizione esplicita: rendere tracciabili le scelte progettali prima che il codice le cristallizzi. L'output non è un documento statico ma un artefatto vivente che accompagna l'evoluzione del sistema. Questo approccio risponde a un problema concreto nello sviluppo di agenti AI, dove le proprietà emergenti dei modelli linguistico-grandi rendono difficile anticipare comportamenti indesiderati attraverso i metodi tradizionali di threat modeling.
Resta tuttavia un limite significativo: non è chiaro se Clarity sia un'applicazione standalone, un plugin per ambienti di sviluppo esistenti, o un servizio cloud. La natura tecnica esatta dello strumento — e la sua integrabilità nei cicli CI/CD già in uso — non è specificata nelle fonti disponibili.
Cross-prompt injection e regressioni: cosa RAMPART cerca di catturare
La tipologia di minaccia più specificamente menzionata nelle fonti è la cross-prompt injection, vettore particolarmente insidioso per gli agenti AI che operano su dati esterni. A differenza delle prompt injection dirette, dove l'attaccante interagisce con il modello in prima persona, la variante cross opera per interposta persona: un email maligna, un documento condiviso, una pagina web compromessa diventa il veicolo attraverso cui istruzioni avversariali raggiungono l'agente. RAMPART propone di testare sistematicamente questa superficie di attacco, oltre a regressioni comportamentali che — in sistemi aggiornati frequentemente — possono introdurre vulnerabilità in funzionalità precedentemente sicure.
Il meccanismo di valutazione richiede che l'ingegnere definisca l'esito atteso e che RAMPART riporti i risultati in un formato interpretabile. Questa struttura riflette la logica Pytest, ma applicata a un dominio dove i criteri di "pass" e "fail" sono meno netti che nel software deterministico. Un test di data exfiltration, per esempio, può rivelare una vulnerabilità potenziale che dipende dal contesto di deployment: il framework segnala il risultato, ma la valutazione del rischio residuo resta in capo al team.
Cosa fare adesso
Per gli sviluppatori e i team di sicurezza che lavorano con agenti AI, l'annuncio impone quattro azioni prioritarie:
Verificare la pubblicazione dei repository. Prima di pianificare qualsiasi integrazione, è necessario confermare che i repository GitHub di RAMPART e Clarity siano effettivamente pubblici e accessibili, e verificarne la licenza open-source esatta. L'assenza di questa informazione nelle fonti disponibili rende prematura qualsiasi roadmap di adozione.
Valutare l'overhead dell'adapter. RAMPART richiede un adapter per connettere l'agente al suite di test. I team dovrebbero stimare il costo di sviluppo e manutenzione di questo connettore per la propria architettura specifica, un dato non quantificato nell'annuncio.
Mappare la copertura contro il proprio threat model. Le categorie di danno esplicitate — cross-prompt injection, regressioni, data exfiltration — devono essere confrontate con le superfici di attacco effettive del proprio sistema. Un agente senza accesso a email o file esterni, per esempio, potrebbe trarre beneficio limitato dalla prima categoria.
Integrare nel ciclo di sviluppo, non sopra. Il valore dichiarato di RAMPART e Clarity risiede nell'embedding nel flusso esistente, non nell'aggiunta di un passo separato. I team dovrebbero pianificare la posizione dei test RAMPART nella pipeline CI/CD prima di valutare l'adozione, verificando compatibilità con gli ambienti Pytest già in uso.
Il vero test: dalla promessa alla pipeline
L'annuncio Microsoft ha il merito di rendere esplicito un problema finora sottotracciato: la sicurezza degli agenti AI è stata gestita con strumenti del passato, ottimizzati per modelli che non agiscono autonomamente su sistemi esterni. RAMPART e Clarity propongono una risposta coerente, temporalmente distribuita e tecnicamente ancorata a pratiche esistenti. La coerenza della visione, tuttavia, non garantisce l'efficacia dell'implementazione.
La validazione della community open-source fungerà da banco di prova decisivo: se gli adapter rimangono troppo specifici per essere riutilizzabili, se i test generano falsi positivi ingestibili, se Clarity si rivela un chatbot con poche strutture reali di "decision tracking", l'adozione rimarrà confinata a chi ha risorse per sperimentare. La scommessa di Microsoft è che i learnings del suo AI Red Team, uno dei più attivi in ambito industriale, possano essere cristallizzati in artefatti ingegneristici sufficientemente generici. La verifica di questa ipotesi richiederà settimane di utilizzo reale, non di annunci.
Domande frequenti
RAMPART sostituisce PyRIT? No. I due strumenti hanno destinazioni d'uso diverse: PyRIT per ricercatori in sicurezza su sistemi già costruiti, RAMPART per ingegneri durante lo sviluppo. Microsoft li presenta come complementari.
Clarity genera codice? Non secondo le fonti disponibili. È descritto come strumento di supporto alle decisioni pre-codice, non come generatore di implementazioni.
È necessario usare Azure per utilizzare RAMPART? Non è menzionato alcun requisito di cloud specifico nelle fonti. L'architettura Pytest-native suggerisce esecuzione locale, ma la conferma attende la verifica dei repository.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.