11 marzo 2026 · 6 min lettura
Intelligenza Artificialeduck.ai promette chat AI senza tracciamento: nessun log, nessun IP, accordi con Anthropic e OpenAI. Ma DuckDuckGo ha già tradito questa fiducia una volta.
Self-HostingLa cloud sovranità europea è sovereignty washing: i datacenter sono in UE, le chiavi restano a Seattle. Gaia-X è fallito, NIS2 stringe. Il homelab risponde.
Self-HostingIscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
900k siti WordPress esposti a RCE critico, 500k a file read su wp-config.php. Se ospiti WordPress in homelab o su VPS, ecco cosa fare nei prossimi 30 minuti.
Microsoft ha speso il weekend del 9 marzo a vendere Frontier Suite — la nuova licenza M365 E7 a 99 dollari al mese per utente — promettendo un futuro glorioso con gli AI agent in azienda. Il giorno dopo ha patchato una vulnerabilità critica che trasforma proprio quell’agent in uno strumento di esfiltrazione dati. Zero click necessari.
La CVE in questione è una XSS in Microsoft Excel con punteggio CVSS 7.5 — critica. Permette a un attaccante di sfruttare il Copilot Agent, quel sistema autonomo che da febbraio 2026 può pianificare, eseguire e iterare task dentro i fogli di calcolo, per estrarre dati senza che l’utente faccia nulla. Nessun click, nessun consenso, nessun avviso. L’agent lavora per te e, contemporaneamente, lavora per chi ti ha compromesso.
Non sappiamo ancora il meccanismo esatto: potrebbe essere una cella, un collegamento, un file aperto nel Preview Pane. Non sappiamo nemmeno se serve Copilot attivamente in uso o basta che sia abilitato nel tenant. E non sappiamo chi ha scoperto la falla. Quello che sappiamo è che Microsoft l’ha patchata nel Patch Tuesday di marzo 2026, assieme ad altre 79 vulnerabilità di cui 8 critiche.
Facciamo i conti. Ad agosto 2025, Varonis scopre Reprompt: un attacco di prompt injection post-hoc su Copilot Personal che mantiene il controllo anche dopo che chiudi la finestra dell’assistente. Patchato solo a gennaio 2026, cinque mesi dopo. Poi arriva EchoLeak (CVE-2025-32711, CVSS 9.3), il primo zero-click su M365 Copilot — e con un 9.3, non stiamo parlando di un bug accademico. Ora CVE-2026-26144, che come avevamo già visto con ROME, dimostra che gli agenti AI autonomi con accesso a dati e rete sono insider threat per definizione.
Io ho un problema con la sequenza degli eventi. Il 9 marzo annunci un prodotto enterprise da 99 dollari/mese che mette gli AI agent al centro di tutto. Il 10 marzo patchi una CVE critica che dimostra che quegli stessi agent possono essere trasformati in armi. I 15 milioni di posti M365 Copilot pagati (+160% anno su anno) e il 90% delle Fortune 500 che lo usa non sono numeri astratti — sono la superficie d’attacco più grande mai costruita volontariamente da un’azienda.
Eppure il tasso di conversione di Copilot resta al 35.8%, contro l’83.1% di ChatGPT secondo Recon Analytics. Forse qualcuno in quelle Fortune 500 ha già capito che regalare accesso autonomo ai dati aziendali a un LLM non è esattamente la mossa più prudente.
Vovk non esagera. Pensate a quanti fogli Excel girano nelle PMI italiane con dati fiscali, listini prezzi, margini, contratti. Un agent compromesso in quel contesto non è un problema IT — è un problema di sopravvivenza aziendale. La maggior parte di queste imprese non ha un team di sicurezza dedicato, non monitora il traffico outbound delle applicazioni Office e spesso non sa nemmeno quali funzionalità AI siano attive nelle proprie licenze Microsoft 365. Con l’AI Act europeo che dal 2 agosto 2026 impone obblighi stringenti sui sistemi AI ad alto rischio, le sanzioni per sistemi ad alto rischio possono arrivare fino a 15 milioni di euro o al 3% del fatturato globale (le sanzioni massime di 35 milioni/7% si applicano solo alle pratiche AI vietate dall’Art. 5). Microsoft dovrà spiegare come un sistema che gestisce dati sensibili possa essere vulnerabile a un XSS.
Dustin Childs della Zero Day Initiative di Trend Micro non usa mezzi termini: "È affascinante e inquietante. Un attaccante può usare questa falla per trasformare il Copilot Agent in un corriere involontario dei tuoi dati. E questo scenario lo vedremo sempre più spesso." Childs aggiunge una nota che ormai suona come un disco rotto: "Un altro mese, un altro paio di bug Office dove il Preview Pane è vettore di exploit. Ho perso il conto."
Ha ragione, ha perso il conto. Ma il punto qui è diverso dal solito XSS. Con un agente AI autonomo nel loop, la catena di attacco cambia radicalmente. Non stai più sfruttando un browser per rubare un cookie. Stai dirottando un sistema che ha già le credenziali, già l’accesso ai dati, già la capacità di fare chiamate di rete. Come dire, non devi scassinare la porta se l’inquilino ti apre dall’interno.
La ricerca Varonis su Reprompt lo descrive in modo brutale: "L’attaccante mantiene il controllo anche quando chiudi Copilot. I comandi arrivano dopo il prompt iniziale — impossibile capire cosa viene esfiltrato guardando solo il prompt di partenza." Lo stesso paradigma si applica qui, amplificato dal fatto che Agent Mode non si limita a rispondere: agisce.
Il bollettino di marzo include 6 vulnerabilità classificate "more likely to be exploited", tutte privilege escalation. Ci sono 2 zero-day già pubblici: CVE-2026-21262, un’escalation in SQL Server con CVSS 8.8, e CVE-2026-26127, un denial of service in .NET a 7.5. L’unica nota positiva? È il primo mese senza zero-day attivamente sfruttati in sei mesi.
Non basta.
Una nota positiva non cancella il pattern. Quello che stiamo osservando è un’industria che aggiunge strati di complessità AI su fondamenta che ancora non reggono il peso delle vulnerabilità tradizionali. L’abbiamo visto con i worm XSS che colpiscono migliaia di pagine, lo rivediamo oggi con un agente AI che eredita le stesse debolezze del software su cui gira, ma con capacità operative enormemente superiori.
Stavo per scrivere che basta seguire le best practice di sicurezza standard. Poi mi sono ricordato che stiamo parlando di agenti autonomi che decidono da soli cosa fare con i tuoi dati. Le best practice standard non contemplano un software che prende iniziativa.
La corsa agli AI agent enterprise è una scommessa fatta con i dati degli altri. Microsoft vende Copilot Agent a 15 milioni di utenti paganti, lo potenzia con Agent Mode autonomo, lo impacchetta in una licenza E7 da 99 dollari — e poi patcha vulnerabilità critiche che lo trasformano in uno strumento di esfiltrazione zero-click. Tre incidenti in meno di un anno non sono sfortuna: sono un pattern. Fino a quando l’industria non tratterà gli agenti AI con la stessa paranoia con cui tratta le chiavi SSH — accesso minimo, logging totale, isolamento rigoroso — ogni foglio Excel sarà una potenziale breccia. Per chi ha un homelab, la lezione è chiara: self-hosting non è solo comodità, è un perimetro di difesa.
Fonti: Microsoft Security Response Center, Zero Day Initiative, The Register, Varonis Threat Labs, CyberScoop, EUR-Lex — AI Act