Il passaggio a strumento è la pratica di inviare un'attività da un modello o da un livello di automazione a una funzione, API o servizio esterno dedicato, invece di far sì che il modello faccia tutto da solo. Nei sistemi di sicurezza, questo viene usato per azioni che richiedono precisione o applicazione di policy, come verificare l'hash di un file, eseguire una scansione in sandbox, convalidare un'affermazione di identità o calcolare un punteggio di rischio. Il modello decide quando delegare, mentre lo strumento esegue il lavoro in modo deterministico.
Questo è importante nella cybersecurity perché un instradamento affidabile riduce gli errori e limita le congetture. I difensori usano il passaggio a strumento in SIEM, SOAR, EDR e assistenti chatbot per mantenere le operazioni sensibili sotto logica controllata. Gli attaccanti possono cercare di sfruttare passaggi a strumento progettati male fornendo input creati ad arte che attivano chiamate a strumenti non sicure, ampliano l'accesso o fanno trapelare dati tramite connettori eccessivamente permissivi. Implementazioni di qualità richiedono quindi controlli sull'intento, validazione degli input, principio del privilegio minimo e registrazione chiara, così che le azioni delegate restino prevedibili e verificabili.



