Due recenti vulnerabilità che hanno coinvolto Microsoft 365 Copilot e LiteLLM stanno attirando l’attenzione del settore cybersecurity perché mostrano come i nuovi sistemi basati su modelli linguistici introducano superfici di attacco differenti rispetto alle tradizionali applicazioni enterprise. Sebbene i due casi riguardino prodotti diversi e vulnerabilità tecnicamente distinte, entrambi evidenziano un problema comune: il confine di fiducia tra utenti, modelli AI, dati aziendali e componenti infrastrutturali può essere sfruttato per ottenere accessi non autorizzati o esfiltrare informazioni sensibili.
Nel caso di Microsoft 365 Copilot, i ricercatori hanno identificato una catena di attacco denominata SearchLeak che coinvolge il motore di ricerca contestuale utilizzato dalla piattaforma per accedere ai dati aziendali. La vulnerabilità sfrutta una tecnica nota come Parameter-to-Prompt Injection, una variante delle più ampie famiglie di prompt injection che consente a un aggressore di trasformare parametri apparentemente innocui presenti in un URL in istruzioni interpretate dal sistema AI. Quando il collegamento viene aperto, il motore di ricerca di Copilot può interpretare il contenuto del parametro come un comando operativo anziché come una semplice stringa di ricerca.
Secondo le analisi pubblicate dai ricercatori, la catena di vulnerabilità permetteva di accedere a contenuti ai quali l’utente vittima aveva già autorizzazione, comprese email, informazioni presenti nel calendario, documenti archiviati in SharePoint e file conservati in OneDrive. Il rischio principale non era quindi un bypass delle autorizzazioni tradizionali, ma l’utilizzo dell’intelligenza artificiale come intermediario capace di recuperare e rielaborare dati aziendali per poi trasferirli verso destinazioni controllate dall’attaccante. Microsoft ha classificato il problema come critico e ha distribuito una correzione di sicurezza, dichiarando di non aver rilevato evidenze di sfruttamento attivo.
La vulnerabilità assume particolare rilevanza perché Microsoft 365 Copilot opera come punto di accesso unificato a numerose sorgenti informative aziendali. Il sistema può infatti interrogare email, documenti, riunioni, archivi condivisi e piattaforme connesse attraverso Microsoft Graph e i connettori dell’ecosistema Microsoft 365. In questo scenario, qualsiasi errore nella gestione delle istruzioni interpretate dal modello può amplificare notevolmente l’impatto di un attacco rispetto a quanto avverrebbe in un’applicazione tradizionale isolata.
Parallelamente, un secondo caso ha coinvolto LiteLLM, una piattaforma open source ampiamente utilizzata come gateway per la gestione e l’orchestrazione di modelli linguistici provenienti da fornitori differenti. LiteLLM viene spesso adottato per centralizzare autenticazione, routing delle richieste, monitoraggio e controllo dei costi nelle implementazioni AI aziendali. La vulnerabilità individuata interessa componenti utilizzati per testare e configurare server MCP e consentiva l’esecuzione di comandi attraverso configurazioni fornite dall’utente senza adeguati controlli sui privilegi amministrativi richiesti.
Secondo le informazioni pubblicate dagli analisti di sicurezza, il problema permetteva a utenti non autorizzati di raggiungere funzioni che avrebbero dovuto essere riservate agli amministratori del sistema. In ambienti enterprise dove LiteLLM opera come punto centrale di accesso ai modelli AI, un’escalation di privilegi di questo tipo può tradursi nel controllo dell’intero layer di orchestrazione utilizzato dalle applicazioni basate su intelligenza artificiale.
I due incidenti mostrano come l’evoluzione dell’intelligenza artificiale stia modificando il panorama della sicurezza informatica. Le vulnerabilità non riguardano esclusivamente errori nel codice applicativo, ma coinvolgono il modo in cui i modelli interpretano istruzioni, recuperano dati da sorgenti esterne e interagiscono con componenti infrastrutturali sempre più complessi. Nei sistemi agentici moderni, infatti, i modelli linguistici non si limitano a generare testo ma agiscono come orchestratori di workflow che possono interrogare database, eseguire ricerche, accedere a documenti aziendali e utilizzare strumenti esterni.
Questa crescente integrazione tra modelli AI e dati aziendali rende particolarmente importante l’adozione di controlli specifici per l’intelligenza artificiale, inclusi sistemi di validazione delle istruzioni, separazione rigorosa dei privilegi, verifica delle richieste provenienti dagli agenti e monitoraggio continuo delle attività svolte dai modelli. I casi che hanno coinvolto Microsoft 365 Copilot e LiteLLM dimostrano che la sicurezza delle piattaforme AI non può più essere considerata un’estensione della sicurezza applicativa tradizionale, ma richiede metodologie dedicate capaci di affrontare nuove categorie di vulnerabilità introdotte dall’interazione tra modelli linguistici, dati aziendali e infrastrutture di orchestrazione.