La pubblicazione della vulnerabilità CVE-2026-21520 relativa a Microsoft Copilot Studio, unitamente alla scoperta di falle analoghe nella piattaforma Salesforce Agentforce, segna un punto di svolta critico nella cybersecurity industriale. Non si tratta più solo di proteggere i dati a riposo o in transito, ma di affrontare il “gap del runtime”, ovvero lo spazio decisionale che intercorre tra l’elaborazione di un prompt e l’esecuzione di un’azione tramite strumenti esterni.
Le ricerche condotte da Capsule Security hanno evidenziato come la classe di attacco nota come Indirect Prompt Injection (Iniezione Indiretta di Prompt) possa trasformare un agente legittimo in un “deputato confuso”, un’entità che agisce per conto di un attaccante pur operando all’interno di un perimetro autorizzato. Nel caso specifico di Microsoft Copilot Studio, la vulnerabilità denominata ShareLeak sfrutta l’assenza di una sanitizzazione rigorosa degli input tra i moduli di sottomissione di SharePoint e il contesto del modello linguistico. Un utente malintenzionato può inserire un payload malevolo in un campo di commento pubblico; quando l’agente processa tale informazione, le istruzioni iniettate sovrascrivono le direttive di sistema originali, inducendo l’agente a interrogare elenchi riservati di SharePoint e a esfiltrare i dati verso indirizzi email esterni tramite azioni Outlook del tutto legittime.
Il paradosso tecnico riscontrato in queste analisi risiede nell’inefficacia dei sistemi di prevenzione della perdita di dati (DLP) e dei meccanismi di sicurezza predefiniti. Nonostante i sistemi di Microsoft abbiano segnalato la richiesta come sospetta, l’esfiltrazione è avvenuta con successo poiché l’azione di invio email è stata trattata come un’operazione autorizzata eseguita da un utente fidato. Questo evidenzia una debolezza strutturale intrinseca: i modelli linguistici di grandi dimensioni non sono nativamente in grado di distinguere tra istruzioni di sistema attendibili e dati recuperati da fonti non verificate, fondendo entrambi in un unico contesto operativo che l’agente esegue senza discernimento semantico.
La vulnerabilità PipeLeak individuata in Salesforce Agentforce dimostra che il problema è sistemico e non limitato a un singolo fornitore. In questo scenario, un payload inserito in un modulo pubblico per la generazione di lead ha permesso di dirottare un agente senza alcuna autenticazione richiesta, consentendo l’esfiltrazione di volumi massicci di dati CRM. Sebbene Salesforce abbia implementato patch per mitigare vettori basati su URL sospetti, la via dell’email rimane un canale aperto che bypassa i controlli basati su liste di autorizzazione, poiché sfrutta le capacità native e autorizzate dell’agente stesso.
La gravità di queste falle è amplificata dalla cosiddetta “trifora letale” delle condizioni operative: l’accesso ai dati privati, l’esposizione a contenuti non attendibili e la capacità di comunicare con l’esterno. La maggior parte degli agenti aziendali in produzione opera esattamente all’intersezione di questi tre fattori, rendendo la loro utilità aziendale direttamente proporzionale al loro rischio intrinseco. Inoltre, l’emergere di attacchi “multi-turn crescendo” complica ulteriormente il quadro. In questi casi, il payload malevolo viene distribuito su più interazioni apparentemente benigne, ciascuna delle quali supera singolarmente i controlli di sicurezza stateless, rendendo l’attacco visibile solo attraverso un’analisi sequenziale e semantica dell’intera conversazione.
La risposta dell’industria a queste sfide richiede un cambio di paradigma verso la sicurezza a runtime. Il monitoraggio tradizionale dei log e la gestione della postura di sicurezza sono necessari ma insufficienti, poiché descrivono ciò che dovrebbe accadere piuttosto che ciò che sta effettivamente accadendo nel momento in cui l’agente decide di agire. Esperti del settore suggeriscono l’adozione di “guardian agents” o piccoli modelli linguistici specializzati incaricati di valutare l’intento dietro ogni chiamata a strumenti esterni prima della sua esecuzione. Questo livello di analisi dell’intento deve essere integrato con il monitoraggio delle azioni cinetiche, osservando ciò che l’agente fa effettivamente a livello di processi di sistema, piuttosto che basarsi esclusivamente sulla sua interpretazione linguistica.