L'intelligenza artificiale nelle imprese sta affrontando una crisi di fiducia. Due strumenti AI sono stati compromessi nello stesso modo in due settimane, e quattro team di ricerca lo hanno dimostrato. Il comune denominatore è semplice: l'AI aziendale accetta input esterni senza alcun confine di fiducia. Il 15 giugno, Varonis ha divulgato SearchLeak (CVE-2026-42824), una catena di esfiltrazione proof-of-concept in Microsoft 365 Copilot Enterprise Search. Una vittima clicca su un URL microsoft.com manipolato, Copilot cerca nella loro casella di posta e i dati fuoriescono attraverso un SSRF di Bing. Nessun plugin, nessun secondo clic, nessun indicatore visibile. Quattro giorni prima, Obsidian Security aveva pubblicato una catena di tre CVE contro LiteLLM che portava un utente con privilegi bassi predefinito fino all'amministratore e all'esecuzione di codice remoto. Due strumenti. Due team. Un confine infranto.
SearchLeak: quando un URL fidato diventa un motore di esfiltrazione
SearchLeak ha concatenato tre debolezze in una catena silenziosa di furto dati. Il parametro q dell'URL ha fornito istruzioni dell'attaccante direttamente al LLM di Copilot. Una condizione di race nel rendering ha attivato un tag immagine prima che il sanitizer dell'output potesse intervenire. L'endpoint di ricerca immagini di Bing, inserito nella whitelist della Content Security Policy, ha instradato i dati rubati all'esterno. Microsoft ha valutato la falla come critica e l'ha corretta lato server, secondo Varonis. Questa è la terza catena di esfiltrazione di Copilot scoperta da Varonis in dodici mesi, dopo Reprompt a gennaio ed EchoLeak nel 2025. SearchLeak colpisce Enterprise Search, che eredita tutte le autorizzazioni organizzative dell'utente: il raggio di esplosione è tutto ciò che un utente può raggiungere.
Sponsored Protocol
LiteLLM: un account predefinito che espone tutte le chiavi
Il gateway LiteLLM custodisce le chiavi per OpenAI, Anthropic, Azure e Bedrock dietro un unico proxy. La catena di Obsidian si sviluppa in tre mosse. CVE-2026-47101, un bypass di autorizzazione, permette a un non amministratore di creare una chiave API wildcard. CVE-2026-47102 promuove quel chiamante ad amministratore del proxy attraverso un endpoint /user/update non protetto. CVE-2026-40217 evade la sandbox del codice tramite exec() con builtins completi. Obsidian ha poi dimostrato una reverse shell iniettando una risposta falsificata di tool-call attraverso il meccanismo di callback di LiteLLM. Il punteggio CVSS combinato è 9.9. Un'altra falla separata, CVE-2026-42271, un bug di command injection negli endpoint MCP test, è finita nella lista KEV di CISA l'8 giugno con scadenza di remediation il 22 giugno. LiteLLM ha oltre 40.000 stelle su GitHub ed è distribuito in migliaia di aziende. Un gateway compromesso espone ogni credenziale del provider che l'organizzazione possiede.
Sponsored Protocol
Il pattern si estende: Langflow e Mini Shai-Hulud
Lo stesso confine è stato infranto in altri due strumenti nella stessa quindicina. Langflow CVE-2026-5027 è diventato il terzo flaw di esecuzione remota di codice di Langflow quest'anno. Un path traversal nel caricamento file permette a un attaccante di scrivere file ovunque sul disco e, poiché Langflow ha l'auto-login abilitato per impostazione predefinita, una singola richiesta non autenticata raggiunge RCE. VulnCheck ha confermato lo sfruttamento il 9 giugno. Censys ha contato circa 7.000 istanze esposte, con la maggiore concentrazione in Nord America, attribuite al gruppo MuddyWater. La campagna Mini Shai-Hulud ha colpito un altro punto: dopo la pubblicazione del codice sorgente del worm il 12 maggio, varianti copia hanno compromesso 32 pacchetti npm di Red Hat Cloud Services il 1 giugno, pacchetti scaricati 80.000 volte a settimana. Il worm raccoglie oltre 20 tipi di credenziali e si autopropaga sotto l'identità del manutentore compromesso. Quattro team, quattro strumenti, un fallimento operativo. Le classi di bug differiscono, ma il confine infranto è lo stesso.
Sponsored Protocol
Il mercato ha già rivalutato il rischio. CrowdStrike nel Q1 FY27 ha riportato una crescita del 250% dell'ARR per AIDR, la sua linea di rilevamento e risposta AI, con una pipeline Q2 superiore a 50 milioni di dollari. Il 17 giugno, l'azienda ha esteso AIDR ad AWS, aggiungendo la valutazione in tempo reale delle comunicazioni tra agenti, LLM e MCP. Daniel Bernard, chief business officer di CrowdStrike, ha dichiarato che la superficie di attacco AI ora copre sviluppo, runtime, identità e infrastruttura cloud, e che i team che trattano questi domini separatamente lasciano aperti i gap tra di loro.
Sponsored Protocol
I professionisti del settore descrivono lo stesso problema in termini più semplici. David Levin, CISO di American Express Global Business Travel, ha detto a VentureBeat che il pattern non lo sorprende: 'Abbiamo una sorta di shadow AI, che è la nuova versione dello shadow IT'. Sia Langflow che LiteLLM rientrano in questa descrizione. Merritt Baer, CSO di Enkrypt AI ed ex vice CISO di AWS, ha sottolineato che 'le aziende credono di aver approvato i vendor AI, ma in realtà hanno approvato un'interfaccia, non il sistema sottostante. Le dipendenze reali sono uno o due strati più in profondità'. Adam Meyers, SVP di Intelligence di CrowdStrike, ha messo in numeri la pressione operativa: 'Il problema non è lo zero-day. Il problema è il patching. Se moltiplicate quel problema per 10, saranno completamente sommersi'. Ha anche indicato l'identità come secondo fronte: 'Alcune AI hanno identità proprie, o le persone danno la loro identità all'AI per agire per loro conto, e questo rende il problema molto complesso'.
Sponsored Protocol
L'audit in cinque punti alla fine di questo articolo mappa ogni gap a un CVE o a un segnale di mercato di giugno, un comando che un team può eseguire prima di pranzo e una frase che un CISO può leggere al consiglio di amministrazione. Il confine di fiducia è il punto in cui l'AI incontra l'impresa. Non è un problema di modelli all'avanguardia, ma di plumbing: gateway, piattaforme di orchestrazione, strati di identità e ambienti runtime. La domanda non è se il vendor farà la patch, ma se troverete il gap per primi, o se un attaccante lo troverà come ha fatto con Copilot e LiteLLM.
Per approfondire il tema dell'AI e della robotica, leggi il nostro articolo su come a Shenzhen si lavora con robot umanoidi: A Shenzhen Operare Robot Umanoidi con il Proprio Corpo è un Lavoro Ambìto. Per capire meglio le vulnerabilità di iniezione di prompt, consulta la pagina Wikipedia sull'iniezione di prompt.
Fonte: https://venturebeat.com/security/copilot-searched-your-mailbox-litellm-handed-out-admin
