Arcade.dev ha annunciato una Serie A da 60 milioni di dollari guidata da SYN Ventures, con investimenti strategici di Morgan Stanley e Wipro. La dotazione totale della startup di San Francisco sale a 72 milioni, dopo il seed da 12 milioni del 2025. La società , fondata nel 2024 da Alex Salazar (ex Okta) e Sam Partee (ex Redis), vende quello che chiama “secure action layer” per agenti AI: un’infrastruttura che governa quali azioni un agente può eseguire, su quali risorse, per conto di quale utente. Nei primi sei mesi del 2026 il volume di chiamate strumento gestite è cresciuto di venticinque volte, con clienti che includono una grande banca statunitense, Prosus e LangChain.
Ogni grande azienda sta provando a portare gli agenti in produzione e quasi nessuna ci riesce. Il vero collo di bottiglia è il livello di autorizzazione: i team di sicurezza non sanno rispondere alla domanda “quale agente ha fatto quale azione, per conto di quale utente, su quale sistema”. Arcade interviene su quel buco. La specifica di autorizzazione MCP scritta dalla società è stata adottata da Anthropic come riferimento per i flussi di permessi degli agenti, segnale che la lacuna ha dimensioni industriali.
Gli agenti non falliscono per il modello, falliscono per i permessi.
L’identità che conta nel 2026 non è più la tua
La generazione di identity provider che ha dominato gli ultimi quindici anni, da Okta a Auth0 a Ping, risponde alla domanda “chi sei”. La domanda 2026 è un’altra: cosa stai facendo, con quale autorità , su quale risorsa. Il salto è proprio qui, e il fatto che Salazar arrivi da Okta non è dettaglio di colore: ha contribuito a costruire la struttura di controllo che ha plasmato il decennio scorso, e oggi dichiara che quella struttura non basta più. Le identità non umane in azienda sono ottanta a uno rispetto a quelle umane, e più della metà ha accesso privilegiato secondo le rilevazioni di settore. Gli agenti AI aggiungono un nuovo strato a questa massa, con la differenza che possono agire in autonomia su sistemi critici.
Su Tom’s Hardware abbiamo già raccontato che la sicurezza degli agenti richiede una nuova identità , che gli agenti vanno trattati come dipendenti ad alto rischio, e che diventano la nuova minaccia interna per chi li mette in produzione senza recinzioni. CrowdStrike rileva che il 70% degli incidenti recenti di identità nasce da un’attività di agente AI, e Cisco al RSAC ha dichiarato che solo il 5% delle imprese ha portato gli agenti in produzione con governance adeguata.
Ottanta a uno: il rapporto tra identità macchina e identità umane.
Tre cose che bloccano gli agenti prima della produzione
Arcade dichiara di risolvere tre problemi che impediscono il passaggio dal pilota alla produzione. Il primo è l’autorizzazione. L’agente eredita i permessi dell’utente solo per l’azione che sta eseguendo, non per sempre. Niente permessi permanenti, niente account di servizio sovra-privilegiati, niente fuga di dati quando il modello allucina. Il privilegio minimo smette di essere un’etichetta e diventa una proprietà operativa: permesso per il tempo dell’azione, non per la durata della carriera dell’agente.
Il secondo è l’affidabilità . Arcade ha costruito oltre ottomila strumenti MCP pensati per il modo in cui gli agenti effettivamente li usano, non semplici involucri attorno alle API esistenti. Il risultato dichiarato è una riduzione delle azioni fallite e dei costi token, che WorkOS ha analizzato in dettaglio confrontando il prodotto con altri orchestratori. Il terzo è la governance. Traccia di controllo completa di ogni azione, che risponde alla domanda fondamentale per la risposta agli incidenti: quale agente, per conto di quale utente, contro quale risorsa. Senza questa tracciabilità non si fa compliance, non si fa analisi post-incidente, non si fa nulla.
Privilegio minimo è permesso per il tempo dell’azione, non per sempre.
Il MCP è uno standard, l’autorizzazione no
Il Model Context Protocol di Anthropic è diventato in pochi mesi lo standard di fatto per collegare agenti e strumenti esterni. Ha risolto un pezzo di problema — come scoprire e invocare un’azione — ma ha lasciato aperto quello che conta in produzione: chi autorizza cosa, e come si revoca un permesso. Un gateway smista traffico, non autorizza, non esegue, non governa. È qui che Arcade ha posizionato il prodotto, scrivendo la specifica di autorizzazione URL Elicitation per MCP e ottenendo l’adozione da parte del titolare dello standard. Risultato: la società si propone come livello di controllo nativo dell’ecosistema, non come componente aggiuntivo esterno.
Auth0 di Okta ha annunciato una propria offerta per agenti, e SiliconANGLE ha mappato il quadrante con i player emergenti. Il segnale che il mercato sta votando per la lettura di Arcade è la composizione della struttura del capitale. Morgan Stanley entra come investitore strategico perché ha un problema concreto da risolvere sulle proprie operazioni interne. Wipro entra perché integra agenti per i clienti enterprise e vuole una soluzione di autorizzazione che possa rivendere insieme ai progetti. Quando una banca di investimento e un system integrator globale mettono soldi nella stessa raccolta capitali, di solito hanno individuato un componente che manca al proprio stack tecnologico.
Un gateway smista traffico, non autorizza, non esegue, non governa.
Comprare un agente senza un livello di controllo è un debito che matura in fretta
Chi compra agenti AI senza un livello di autorizzazione dedicato accende un mutuo sulla propria base dati, un debito che matura lentamente e si presenta tutto insieme. Si presenta quando un agente cancella la posta del CEO, riscrive una policy di sicurezza per portarsi a casa il task assegnato, o estrae dati che non avrebbe dovuto vedere perché eredita i diritti di un account di servizio sovra-privilegiato. Sono casi reali documentati al RSAC 2026, non scenari di laboratorio. Forrester rileva che il 75% delle aziende ha avviato progetti di agenti, e che la maggioranza non ha ancora un piano di orchestrazione e governance. Il divario tra adozione e infrastruttura è la zona dove si concentrano gli incidenti.
Chi guida la sicurezza in azienda si trova davanti agli stessi nodi che indicavamo a marzo sulla sicurezza delle identità privilegiate nello scenario italiano. Ogni agente in produzione è un’identità separata, con credenziali proprie, attribuibili e revocabili. Niente account di servizio condivisi. I permessi durano il tempo dell’azione, non la vita del progetto. Le operazioni irreversibili (pagamenti, modifiche di policy, cancellazioni di dati, accessi privilegiati) passano sempre da un’approvazione umana. Il numero di strumenti collegati va catalogato e rivisto ogni trimestre, perché cresce in silenzio fino a quando un incidente costringe a contarli.
Il vero indicatore di maturità è il test di “blast radius”: simulare cosa succede se l’agente si comporta come un dipendente con cattive intenzioni. Il perimetro reale è il danno massimo che può fare prima di essere fermato, non il numero di firewall che lo circondano. Chi non lo misura non sta facendo sicurezza, sta facendo teatro. Mark Ryland di AWS ha riassunto la questione in quattro principi che valgono per qualunque vendor, Arcade inclusa: identità separata per ogni agente, autorizzazione contestuale, controllo granulare delle azioni, contenimento del raggio d’azione. La raccolta capitali da sessanta milioni dice che almeno una parte del mercato ha capito che questi principi vanno comprati prima che imposti da un incidente.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Davide Greco
Source link
