Il CERT-AGID ha pubblicato un nuovo paper dedicato ai workflow agentici applicati alla malware analysis, un ambito in cui modelli linguistici e strumenti automatici stanno assumendo un ruolo sempre più rilevante nelle attività di triage, reverse engineering e ricostruzione di catene multi-stage.
Lo studio evidenzia come questi sistemi non si limitino più alla generazione di testo, ma siano ormai in grado di orchestrare tool, interpretare artefatti complessi e supportare analisi iterative. Allo stesso tempo, mette in luce una criticità centrale: nei workflow più lunghi, il problema principale non è soltanto la qualità del modello, ma la tenuta dell’intero processo operativo.
Il paper parte da un caso reale sviluppato nell’ambito delle attività del CERT-AGID, in cui una skill eseguita tramite Codex CLI con un modello di frontiera in cloud è riuscita a ricostruire autonomamente una complessa catena multi-stage, arrivando a identificare l’ultimo stadio dell’infezione. Da qui è stata avviata una campagna di test per valutare la possibilità di trasferire workflow analoghi su infrastrutture completamente locali.
I risultati mostrano che il degrado operativo emerge spesso prima per limiti di orchestrazione, infrastruttura e gestione dei tool che per carenze intrinseche del modello. In questo contesto, la combinazione Codex CLI e Ollama con qwen3-coder30b viene indicata come un buon compromesso per analisi rapide, mentre stack basati su client custom e llama-server garantiscono maggiore controllo e stabilità nel serving locale.
Nel complesso, il paper sottolinea che la vera metrica dei workflow agentici non è il modello isolato, ma l’intero sistema di analisi. Per renderli sostenibili saranno necessari workflow più atomici, telemetria affidabile e un’orchestrazione rigorosa dei tool, così da mantenere continuità operativa e controllo del processo investigativo nel tempo.
Il paper è disponibile qui
