L'incidente che ha coinvolto l'agente di supporto AI di Meta ha scosso il mondo della sicurezza. Un attaccante ha chiesto al bot di legare una nuova email di recupero a un account Instagram e, in pochi minuti, ha preso il controllo, aggirando ogni difesa tradizionale. Nessun malware, nessun furto di credenziali. L'agente ha semplicemente fatto ciò per cui era stato progettato, ma senza un controllo adeguato. Questo caso dimostra che il vero rischio non è la prompt injection classica, ma un'autorizzazione eccessiva. Come ha evidenziato Simon Willison, pioniere del prompt injection, il problema non è stato ingannare il modello, ma chiedere educatamente e ottenere.
Il caso Meta: un agente che ha aggirato ogni difesa
Secondo quanto riportato da 404 Media e Krebs on Security, l'agente di supporto Meta poteva rilegare email e resettare password per qualsiasi account. L'attacco ha colpito profili di alto profilo, tra cui Sephora e un account della Space Force USA. L'unica protezione efficace è stata l'autenticazione a più fattori (MFA), che però non blocca il percorso di recovery. L'agente operava come attore autorizzato, quindi i log di sistema registravano transazioni legittime, senza allertare i SOC. Il problema è strutturale: l'agente aveva accesso in scrittura allo stato di autenticazione senza un gate deterministico al di fuori del modello.
La lezione per le enterprise: autorizzazione fuori dal modello
OWASP ha classificato questo scenario come Excessive Agency (LLM06) e Identity and Privilege Abuse (ASI03). La soluzione non è aggiungere un altro prompt MFA, ma separare la decisione dall'esecuzione. Come spiegato nell'articolo sull'AI spia e il ransomware fisico, il cybercrime moderno sfrutta la fiducia cieca nei sistemi automatizzati. Le enterprise devono implementare un'architettura dove l'agente propone azioni, ma un servizio di policy esterno valida e approva ogni modifica critica, con notifica out-of-band al vecchio contatto. Microsoft, con la sua strategia di agent governance annunciata al Build 2026, introduce agent identity e rubric-based evaluation. Anche OpenAI ha risposto con la modalità Lockdown per proteggere dalla prompt injection. Ma la vera difesa è ripensare il percorso di recovery, come insegna il framework di LangChain per agenti autonomi con memoria condivisa.
Strumenti e soluzioni: da OpenAI a Microsoft
La modalità Lockdown di OpenAI offre una protezione aggiuntiva contro attacchi di prompt injection, ma non risolve il problema dell'autorizzazione eccessiva. Microsoft punta su Microsoft IQ e Foundry control plane per garantire osservabilità e governance. Per i team SOC, è cruciale emettere metadati strutturati per ogni scrittura nello stato di autenticazione, come indicato nell'AI Authority Audit Grid. Ogni agente che opera sul percorso di recovery deve essere esaminato con la stessa severità di un reset password umano. Il caso Meta è un campanello d'allarme: il prossimo agente simile potrebbe già leggere la vostra proprietà intellettuale e i dati finanziari.
Sponsored Protocol
