Microsoft Copilot Cowork esfiltra file: un'analisi approfondita sulla sicurezza degli agenti IA

Man mano che l'intelligenza artificiale evolve dai classici chatbot conversazionali verso agenti autonomi in grado di eseguire compiti al nostro posto, la nostra superficie di attacco digitale si espande in modo esponenziale. Questo cambio di paradigma è stato brutalmente evidenziato da una recente vulnerabilità scoperta dall'azienda di ricerca sulla sicurezza PromptArmor. I ricercatori hanno spiegato nel dettaglio come Microsoft Copilot Cowork — una funzionalità avanzata basata su agenti all'interno della preview di Microsoft 365 Frontier — possa essere sfruttato per esfiltrare silenziosamente file sensibili. Per i team di engineering e sicurezza, questa divulgazione rappresenta un enorme campanello d'allarme sui pericoli latenti derivanti dall'unione tra prompt injection indiretta e un accesso ad ampio spettro ai dati.

#Cosa è successo: l'anatomia dell'exploit

Il cuore della vulnerabilità risiede in una scelta di design architetturale apparentemente innocua. Copilot Cowork è stato progettato per assistere gli utenti riassumendo documenti, gestendo i calendari e recuperando file. Per garantire la sicurezza, Microsoft ha implementato delle protezioni che richiedono l'approvazione umana prima che l'agente esegua "azioni sensibili", come l'invio di email o di messaggi su Microsoft Teams a colleghi o contatti esterni.

Tuttavia, i ricercatori di PromptArmor hanno individuato una grave falla: il processo di approvazione che prevede l'intervento umano (human-in-the-loop) viene completamente aggirato se l'agente invia un messaggio direttamente all'utente attivo.

Gli attaccanti hanno sfruttato questa svista utilizzando l'indirect prompt injection. Ecco come si sviluppa la sequenza dell'attacco:

1. La fonte avvelenata: Un attaccante inserisce istruzioni malevole nascoste all'interno di un documento, di un invito a un meeting o di una risorsa condivisa con cui è molto probabile che l'utente chieda a Copilot di interagire.
2. L'innesco dell'agente: Quando l'utente chiede a Copilot di riassumere il documento avvelenato, l'agente ingerisce inconsapevolmente le istruzioni nascoste dall'attaccante insieme al contenuto legittimo.
3. Data Harvesting: Il prompt malevolo comanda all'agente di cercare specifici file sensibili (es. documenti finanziari, chiavi API o dati delle risorse umane) sfruttando Microsoft Graph, forzando così il sistema a generare dei link di download pre-autenticati.
4. L'esfiltrazione Zero-Click: L'agente viene istruito a inviare un messaggio all'utente tramite Teams o Outlook. Il punto cruciale è che il prompt impone all'agente di formattare il messaggio usando Markdown o HTML, incorporando un tag <img> invisibile. L'attributo src di questo tag punta al server esterno dell'attaccante, accodando i link di download pre-autenticati come parametri dell'URL.

Quando l'utente apre il messaggio — un'azione che richiede interazione zero, se non la semplice visualizzazione della propria chat o casella di posta — il suo client tenta di renderizzare l'immagine invisibile. Questo fa scattare silenziosamente una richiesta web, inviando i link di download dei file sensibili direttamente all'attaccante.

#Perché è importante: permessi troppo ampi e protezioni inadeguate

Le implicazioni di questa vulnerabilità si spingono ben oltre un classico attacco di phishing o un tipico data leak. Mettono in luce gravi problemi strutturali nel modo in cui gli agenti IA gestiscono i permessi e i limiti di affidabilità (trust boundaries) all'interno degli ambienti enterprise.

• Ereditarietà totale dei permessi: Copilot Cowork opera con i pieni permessi Microsoft Graph dell'utente attivo. Se un'organizzazione soffre di "oversharing" — ovvero i permessi interni su SharePoint o OneDrive sono troppo ampi — l'agente diventa un moltiplicatore di forza devastante. Può scoprire istantaneamente ed esfiltrare dati a cui l'utente non sapeva nemmeno di avere accesso.
• Esecuzione Zero-Click: La tradizionale formazione sulla sicurezza informatica insiste molto sull'insegnare ai dipendenti a non cliccare su link sospetti. In questo scenario, la semplice apertura di un messaggio Teams generato dal proprio assistente IA aziendale innesca l'esfiltrazione. Non c'è alcun link malevolo da evitare.
• Elusione dei controlli DLP: Poiché il movimento iniziale dei dati è interamente interno (Copilot che interagisce con Microsoft Graph e invia messaggi all'utente internamente), gli strumenti standard di Data Loss Prevention (DLP) che monitorano il traffico enterprise in uscita difficilmente segnaleranno l'anomalia fino alla richiesta web finale e offuscata, effettuata tramite il caricamento dell'immagine.

#Implicazioni tecniche: oltre l'LLM

Uno degli aspetti tecnici più affascinanti che emergono dall'analisi di PromptArmor è che l'exploit è fondamentalmente model agnostic. Sebbene la ricerca abbia dimostrato l'attacco utilizzando Claude Opus 4.7 (che alimenta la preview della funzionalità Copilot Cowork), la falla alla base non è un'allucinazione dell'IA e non aggira i guardrail di sicurezza del modello. Si tratta di una tradizionale falla logica architetturale, che viene però esasperata dalle capacità dell'intelligenza artificiale.

Questo dimostra che la messa in sicurezza dei sistemi basati su agenti richiede molto più del semplice fine-tuning dell'LLM per fargli rifiutare i prompt malevoli. Richiede un robusto systems engineering, una rigida separazione contestuale degli input di dati e una validazione di tipo zero-trust applicata ai meccanismi di output dell'agente.

#Quali sono i prossimi passi: mitigare i rischi degli agenti IA

Per gli sviluppatori e gli amministratori IT che utilizzano Microsoft 365 o che stanno sviluppando i propri agenti IA interni, questo incidente fornisce una roadmap chiara per le mitigazioni necessarie.

• Limitare la Content Discovery: Le organizzazioni devono gestire i permessi di SharePoint e OneDrive in modo molto più restrittivo. I team di sicurezza dovrebbero utilizzare le impostazioni del tenant per escludere i siti altamente sensibili dall'indice di ricerca di Copilot, limitando così il raggio d'azione (blast radius) di un agente compromesso.
• Implementare policy 'Block Download': Configurando le policy di SharePoint per bloccare i download da specifiche librerie sensibili, le aziende possono impedire alla Graph API di generare i link pre-autenticati necessari per questa specifica tecnica di esfiltrazione.
• Sanitizzare l'output Markdown e HTML: Gli sviluppatori di applicazioni che creano client basati su IA devono trattare l'output dell'LLM come input utente non attendibile. I motori di rendering dovrebbero sanitizzare rigorosamente, o bloccare del tutto, il caricamento di asset esterni (come immagini remote) all'interno dei messaggi generati dagli agenti.
• Imporre un vero e proprio Human-in-the-Loop: Le azioni dell'agente che innescano cambiamenti di stato o richieste di rete devono richiedere l'esplicita conferma da parte dell'utente, a prescindere dal fatto che il destinatario sia interno, esterno, o l'utente stesso.

#Conclusione

La vulnerabilità di Microsoft Copilot Cowork scoperta da PromptArmor rappresenta un punto di svolta per la sicurezza dell'IA. Nel passaggio da sistemi che si limitano a rispondere a domande, verso sistemi autonomi che compiono azioni all'interno dell'intero spazio di lavoro digitale, la complessità di mettere in sicurezza questi flussi di lavoro aumenta a dismisura. Adottare un'IA basata su agenti significa dover ripensare radicalmente i nostri confini di fiducia, partendo dal presupposto che le nostre fonti di dati siano ostili e che i nostri assistenti IA siano intrinsecamente ingenui. Garantire la sicurezza del futuro del lavoro richiederà un'estrema vigilanza, un'igiene rigorosa nella gestione dei permessi e un approccio zero-trust inossidabile nei confronti delle integrazioni con l'intelligenza artificiale.