Una recente vulnerabilità zero-click denominata EchoLeak ha messo in allarme la comunità della sicurezza informatica, coinvolgendo direttamente Microsoft 365 Copilot. EchoLeak è classificata come una vulnerabilità critica con identificativo CVE-2025-32711 e un punteggio CVSS di 9.3. La caratteristica più preoccupante di questa falla è che consente a un attaccante di esfiltrare dati sensibili dal contesto di Copilot senza alcuna interazione da parte dell’utente. Microsoft ha già risolto il problema e non risultano casi di sfruttamento attivo in natura.

Il meccanismo di attacco

Il meccanismo di attacco si basa su una cosiddetta LLM Scope Violation, ovvero una violazione del perimetro di contesto dei modelli di linguaggio di grandi dimensioni. L’attaccante inserisce istruzioni malevole sotto forma di payload markdown in contenuti apparentemente innocui, come un’email inviata dall’esterno. Quando l’utente utilizza Copilot per svolgere attività lavorative, il sistema RAG (Retrieval-Augmented Generation) elabora automaticamente anche questi contenuti non affidabili, permettendo così al modello AI di accedere e restituire dati interni riservati senza che l’utente se ne accorga.

La catena di attacco prevede l’invio di un’email che sfrutta questa vulnerabilità, la richiesta dell’utente a Copilot di svolgere un compito e la conseguente esfiltrazione dei dati, che avviene tramite link verso Teams o SharePoint. L’intero processo non richiede nessun clic da parte della vittima, sfruttando la normale integrazione tra Outlook, SharePoint e Copilot, trasformando una funzione di automazione utile in un vettore di fuga silenziosa di dati.

Nuove minacce AI: Tool poisoning e vulnerabilità MCP

Oltre a EchoLeak, il panorama delle minacce AI si sta evolvendo con nuovi attacchi come il tool poisoning sulla Model Context Protocol (MCP). Questi attacchi non si limitano alla descrizione degli strumenti ma possono colpire l’intero schema, consentendo a un aggressore di manipolare agenti AI per accedere a informazioni sensibili o compiere azioni indesiderate. Inoltre, vulnerabilità nell’implementazione MCP, come la possibilità di sfruttare il DNS rebinding tramite Server-Sent Events, possono esporre anche sistemi interni non accessibili dall’esterno.

Best practice di mitigazione

Per mitigare questi rischi è fondamentale implementare controlli granulari sulle autorizzazioni degli agenti AI, validare le origini delle richieste verso i server MCP e monitorare costantemente le interazioni tra agenti e strumenti. L’evoluzione delle minacce AI richiede un approccio di sicurezza proattivo, specialmente in ambienti aziendali che adottano assistenti intelligenti come Microsoft 365 Copilot.