Il confine invisibile del DOM
Un’interfaccia grafica si costruisce su un’architettura di livello superiore, ma la sua azione è limitata da una barriera fisica: il Document Object Model. Questo strato di codice, che rappresenta la pagina web come una struttura gerarchica di elementi, è il confine entro cui operano gli agenti AI. Ogni clic, ogni compilazione di modulo, avviene all’interno di questo spazio chiuso. Ma ciò che il DOM non può vedere, il sistema operativo lo rende visibile: i dialoghi nativi, i prompt di sicurezza, i menu contestuali, i gestori di periferiche. Questi elementi non sono parte del DOM, ma sono parte del sistema computazionale reale. Quando un agente deve gestire una richiesta di stampa, un accesso a una chiave crittografica o un cambio di percorso di file, il DOM non ha accesso a questi livelli.
La dimensione fisica di questo limite è tangibile: si tratta di una separazione tra due piani di interazione. Il primo, il DOM, è un’astrazione software. Il secondo, il sistema operativo, è un’entità fisica che gestisce risorse hardware, memoria fisica, processi in esecuzione. L’interfaccia tra i due non è un semplice collegamento, ma un’interfaccia di sicurezza, progettata per evitare che un errore in un livello comprometta l’altro. Questo design, pensato per la stabilità, ha reso il DOM il confine di un’era di automazione limitata.
Il passaggio da un’interazione basata su DOM a una che include azioni a livello OS non è un aggiornamento software. È una trasformazione architetturale. Il sistema non si limita a navigare pagine, ma interagisce con l’ambiente operativo. Questo cambio di paradigma ha un costo: maggiore complessità di sicurezza, maggiore esposizione a vulnerabilità di sistema, maggiore richiesta di risorse. Ma ha anche un vantaggio: la capacità di operare in scenari reali, non solo virtuali.
La transizione da agente a entità operativa
Amazon Bedrock AgentCore ha introdotto un nuovo livello di funzionalità: l’accesso a operazioni a livello OS. Questo non significa semplicemente che un agente può aprire un file o stampare un documento. Significa che può gestire interazioni che il DOM non può rilevare né controllare. Un agente che deve autorizzare un accesso a un servizio esterno non può limitarsi a cliccare su un pulsante. Deve interagire con un prompt di sicurezza che appare a livello OS, con un menu contestuale che si apre solo su richiesta dell’utente. Queste azioni non sono registrabili nel DOM, ma sono parte della sessione operativa.
La tecnologia dietro questa transizione è complessa. AgentCore Browser, il motore di esecuzione, opera in un ambiente isolato, ma non chiuso. Per gestire le azioni OS, si avvale di meccanismi di integrazione con il sistema operativo stesso. Questo richiede una gestione avanzata della sicurezza: non si può permettere a un agente di accedere a qualsiasi risorsa. Per questo, AgentCore Identity, un servizio separato, gestisce le credenziali e i permessi, assicurando che ogni azione a livello OS sia autorizzata e tracciata. Il sistema non è un’entità libera, ma un’entità controllata.
Il costo di questa evoluzione è misurabile. Hapag-Lloyd, con una flotta di 313 navi e una capacità di 3,7 milioni di TEU, ha integrato AgentCore per automatizzare flussi di feedback. Ogni agente che interagisce con il sistema operativo richiede una configurazione più complessa, un monitoraggio più approfondito. Le metriche di performance, i log, le tracce di esecuzione non sono più solo dati di navigazione, ma dati di interazione con il sistema. Sumo Logic, che fornisce dashboard per AgentCore, monitora non solo il tempo di risposta, ma anche il numero di azioni OS eseguite, la frequenza di richieste di sicurezza, il comportamento dei menu contestuali.
Questo livello di osservabilità è essenziale. Senza di esso, un agente che opera a livello OS diventa un’entità opaca. L’osservabilità non è un luxury: è un requisito per la dipendenza. Un sistema che non può essere monitorato non può essere affidato. La transizione da agente a entità operativa richiede quindi un sistema di controllo che sia più robusto del sistema stesso.
Aspettative e realtà del controllo autonomo
Le aspettative di mercato sulla capacità degli agenti AI di operare autonomamente sono spesso esagerate. Le aziende come SAP, che hanno investito 1,16 miliardi di dollari in un laboratorio tedesco di 18 mesi, si aspettano che gli agenti sostituiscano interi reparti. Ma la realtà è più complessa. L’agente non sostituisce un operatore umano, ma diventa un agente di controllo su un sistema più ampio. Non si tratta di sostituire il lavoro, ma di estenderne la capacità.
Secondo Dario Amodei, esperto in sicurezza AI, «l’errore più comune è credere che un agente possa operare in modo autonomo senza una struttura di controllo». L’agente non è un’entità libera, ma un’entità che deve rispettare vincoli di sicurezza, di tracciabilità, di autorizzazione. Il suo potere non è nella libertà, ma nella capacità di operare in un contesto controllato. Il rischio non è che l’agente si ribelli, ma che operi in modo non previsto, senza che nessuno ne sia consapevole.
“Il sistema non è autonomo, ma dipendente da una struttura di controllo che deve essere più robusta del sistema stesso.” — Dario Amodei, esperto in sicurezza AI
La tensione tra aspettativa e realtà si manifesta anche nel modo in cui le aziende gestiscono l’adozione. Hapag-Lloyd ha scelto di non estendere l’uso degli agenti a tutti i dipendenti, ma di limitarlo a scenari specifici. L’obiettivo non è l’automazione totale, ma l’incremento della qualità del feedback. L’agente non sostituisce il dipendente, ma amplifica la sua capacità di analisi.
Il costo della dipendenza operativa
La transizione verso l’operatività a livello OS non è gratuita. Ogni agente che interagisce con il sistema operativo richiede una configurazione più complessa, un monitoraggio più profondo, una gestione dei permessi più rigorosa. Questo implica un aumento del costo infrastrutturale. Non si tratta solo di hardware più potente, ma di una rete di sicurezza più densa, di un sistema di log più esteso, di un team di operatività più numeroso.
Il costo non è solo economico. È anche strategico. Chi controlla l’accesso a queste azioni a livello OS controlla il sistema. Chi ha la capacità di monitorare e tracciare ogni azione, ha la capacità di intervenire. Questo sposta il potere da chi progetta l’agente a chi gestisce il sistema operativo. L’agente non è più un’entità libera, ma un’entità che opera sotto una supervisione continua.
Il trade-off è chiaro: l’efficienza operativa aumenta, ma la dipendenza da un sistema di controllo aumenta proporzionalmente. Il costo della dipendenza non è misurabile in euro, ma in capacità di autonomia. Chi adotta questa tecnologia non ottiene libertà, ma un nuovo tipo di dipendenza. Il sistema non è più un insieme di processi, ma un sistema di controllo. L’agente non è più un tool, ma un agente di un sistema più ampio.
Il prossimo passo
Se il DOM è il confine di un’era, l’OS è il nuovo fronte. Entro il 2028, è probabile che l’interazione a livello OS diventi standard per gli agenti in produzione. Ma non sarà un’adozione uniforme. Le aziende che hanno già investito in infrastrutture di sicurezza, come Hapag-Lloyd con i suoi 3,7 milioni di TEU di capacità, saranno in vantaggio. Chi non ha una struttura di controllo robusta sarà costretto a costruirla, a un costo elevato.
Per te, che valuti l’adozione di agenti AI, la domanda non è se l’agente può operare a livello OS, ma se il tuo sistema è in grado di gestirne le conseguenze. Il controllo non è un’opzione, ma un requisito. Se non hai un sistema di osservabilità, di tracciabilità, di autorizzazione, non puoi gestire un agente che opera a livello OS. La transizione non è tecnica: è strategica.
Foto di Claudio Pecci su Unsplash
⎈ Contenuti generati e validati autonomamente da architetture IA multi-agente.
> SYSTEM_VERIFICATION Layer
Controlla dati, fonti e implicazioni attraverso query replicabili.