Tre debolezze in catena trasformano l'assistente AI di Microsoft in un canale di fuga silenzioso. La lezione per le imprese va oltre la patch: l'assistente con accesso ai dati è una superficie d'attacco a sé.
Il 15 giugno 2026 Varonis Threat Labs rende pubblica SearchLeak, tracciata come CVE-2026-42824, una falla che Microsoft ha valutato al massimo livello di gravità prima di correggerla. Il bersaglio è Microsoft 365 Copilot Enterprise Search, l'assistente che indicizza posta, calendario, OneDrive e SharePoint per rispondere alle domande dell'utente.
La meccanica è netta. L'attaccante invia un link costruito ad arte via email, Teams, Slack o qualsiasi canale di messaggistica. Al primo clic, Copilot interroga in silenzio la casella della vittima, genera una risposta che incorpora i dati sottratti dentro l'URL di un'immagine Bing, e il server dell'attaccante registra le informazioni esfiltrate. Tutto in pochi secondi, con un solo clic. I dati a rischio includono il contenuto della casella, gli eventi di calendario, i file su OneDrive e SharePoint.
SearchLeak vale come caso di studio perché combina tre difetti distinti, ciascuno modesto da solo, devastante in sequenza.
Il primo è una Parameter-to-Prompt Injection: un parametro controllato dall'attaccante finisce dentro il prompt che guida l'assistente, piegandone il comportamento. Il secondo è una race condition nel rendering HTML, che apre una finestra per far eseguire al client la risposta manipolata. Il terzo è una Server-Side Request Forgery attraverso l'endpoint di ricerca immagini di Bing, che diventa il vettore con cui i dati lasciano l'organizzazione travestiti da normale richiesta a un'immagine.
La somma è un esfiltratore che vive dentro uno strumento legittimo, parla il linguaggio dei flussi aziendali ordinari e si attiva con un gesto che l'utente compie cento volte al giorno.
Il valore di SearchLeak sta nel principio, più che nella singola patch. Un assistente AI con accesso ampio ai dati aziendali è, per definizione, un componente con privilegi elevati e una superficie d'ingresso conversazionale. Ogni testo che l'assistente legge — una mail, un documento, il titolo di un evento — è un potenziale canale di istruzioni. È la logica del prompt injection portata dentro il perimetro aziendale, dove l'assistente ha già le chiavi della cassaforte.
La differenza con la sicurezza applicativa classica è sostanziale. Un'applicazione tradizionale espone funzioni definite e prevedibili; un assistente AI espone un'interfaccia in linguaggio naturale che interpreta input arbitrari e agisce su sistemi reali. Il confine tra dato e comando si fa sottile, e con esso la vecchia separazione tra ciò che il software legge e ciò che esegue.
SearchLeak arriva mentre il panorama delle minacce si sposta sotto i piedi di chi difende. Il Bad Bot Report 2026 di Imperva e Thales fotografa un internet in cui il traffico automatizzato supera per la prima volta quello umano: nel 2025 l'attività dei bot tocca circa il 53% del totale, mentre l'attività umana scende intorno al 47%. Gli attacchi guidati dall'AI crescono di 12,5 volte rispetto all'anno precedente.
Il dato più rilevante per chi guida la sicurezza è un altro: l'abuso di identità ha superato lo sfruttamento delle vulnerabilità di rete come vettore primario di violazione. Gli attaccanti puntano a credenziali valide per muoversi lateralmente nei sistemi cloud, e gli agenti AI compromessi diventano insider collaborativi, capaci di aprire l'accesso ai dati dall'interno. SearchLeak è la prova di concetto di questa categoria: l'assistente fidato che lavora per l'attaccante.
Per le imprese italiane regolate — banche, sanità, pubblica amministrazione, servizi — il punto tocca la conformità tanto quanto la tecnica. Una delle risposte di mercato che gli hub europei stanno adottando è l'esecuzione dei modelli in ambienti sealed a sovranità europea, dove i pesi e i dati restano sotto controllo del cliente e la giurisdizione è chiara — l'approccio che a livello applicativo prende il nome di AI Privacy First. Resta che ogni assistente con accesso ai dati aziendali va trattato come un sistema privilegiato, qualunque sia il fornitore.
Per un CISO o un CTO italiano la lezione operativa vale a prescindere dal vendor scelto. Conviene inventariare ogni assistente AI in produzione e mappare a quali dati ha accesso effettivo, applicando il principio del privilegio minimo: l'assistente vede solo ciò che serve al compito. Conviene trattare il testo che l'assistente legge come input ostile per default, isolando i contenuti esterni dai comandi e filtrando i canali di uscita verso domini approvati. E conviene esigere dai fornitori un percorso di divulgazione delle vulnerabilità trasparente e tempi di patch verificabili, perché la velocità con cui una falla come SearchLeak viene chiusa pesa quanto la funzione che l'assistente offre.
SearchLeak verrà ricordata come una delle prime dimostrazioni pulite di una categoria che accompagnerà l'intera adozione degli assistenti AI: il sistema fidato che, con un solo clic, lavora contro chi lo possiede. Microsoft ha corretto la falla lato server e la protezione arriva in automatico. La domanda che resta sul tavolo delle imprese europee è più larga: quanti assistenti con le chiavi della cassaforte sono già in produzione, e quanti sono stati progettati pensando che il prossimo input potrebbe essere un attacco?
Autore
Pablo Liuzzi
Founder, Synthos Logic