Falla critica in Microsoft Copilot esponeva codici di autenticazione e dati aziendali

Patch management

Sicurezza

La promessa degli assistenti AI consiste nel rendere immediatamente accessibili email, documenti, appuntamenti e informazioni sparse tra decine di servizi. Proprio questa capacità, però, continua a rappresentare uno dei punti più delicati dal punto di vista della sicurezza e della riservatezza dei dati. Microsoft ha appena corretto una vulnerabilità critica all’interno di Microsoft 365 Copilot Enterprise dopo la segnalazione dei ricercatori di Varonis Threat Labs.

La falla, battezzata SearchLeak, permetteva agli aggressori remoti di sottrarre dati personali e riservati con un semplice clic, da parte della vittima prescelta, su un collegamento apparentemente legittimo. Tra le informazioni “sfilabili” figuravano codici di autenticazione multifattore, contenuti delle email, inviti a riunioni, file presenti in OneDrive e documenti archiviati in SharePoint.

I Large Language Models (LLM) continuano a mostrare difficoltà nel distinguere istruzioni autorizzate da comandi nascosti all’interno di contenuti esterni. Non si tratta di un bug tradizionale ma di una caratteristica strutturale della tecnologia attuale. Di conseguenza, i laboratori AI costruiscono meccanismi di contenimento sempre più sofisticati che, periodicamente, qualche ricercatore riesce comunque ad aggirare.