Microsoft ha speso il weekend del 9 marzo a vendere Frontier Suite — la nuova licenza M365 E7 a 99 dollari al mese per utente — promettendo un futuro glorioso con gli AI agent in azienda. Il giorno dopo ha patchato una vulnerabilità critica che trasforma proprio quell’agent in uno strumento di esfiltrazione dati. Zero click necessari.
CVE-2026-26144: quando il tuo assistente diventa una spia
La CVE in questione è una XSS in Microsoft Excel con punteggio CVSS 7.5 — critica. Permette a un attaccante di sfruttare il Copilot Agent, quel sistema autonomo che da febbraio 2026 può pianificare, eseguire e iterare task dentro i fogli di calcolo, per estrarre dati senza che l’utente faccia nulla. Nessun click, nessun consenso, nessun avviso. L’agent lavora per te e, contemporaneamente, lavora per chi ti ha compromesso.
Non sappiamo ancora il meccanismo esatto: potrebbe essere una cella, un collegamento, un file aperto nel Preview Pane. Non sappiamo nemmeno se serve Copilot attivamente in uso o basta che sia abilitato nel tenant. E non sappiamo chi ha scoperto la falla. Quello che sappiamo è che Microsoft l’ha patchata nel Patch Tuesday di marzo 2026, assieme ad altre 79 vulnerabilità di cui 8 critiche.
Tre incidenti in meno di un anno
Facciamo i conti. Ad agosto 2025, Varonis scopre Reprompt: un attacco di prompt injection post-hoc su Copilot Personal che mantiene il controllo anche dopo che chiudi la finestra dell’assistente. Patchato solo a gennaio 2026, cinque mesi dopo. Poi arriva EchoLeak (CVE-2025-32711, CVSS 9.3), il primo zero-click su M365 Copilot — e con un 9.3, non stiamo parlando di un bug accademico. Ora CVE-2026-26144, che come avevamo già visto con ROME, dimostra che gli agenti AI autonomi con accesso a dati e rete sono insider threat per definizione.
