Copilot ha cercato la tua casella. LiteLLM ha distribuito le chiavi di amministrazione. Esegui un'audit di 5 controlli prima che il tuo stack venga violato

Due strumenti di intelligenza artificiale hanno subìto violazioni nello stesso modo e nel medesimo periodo di due settimane, e quattro team di ricerca l'hanno provato. Ogni divulgazione ha il medesimo modello sottostante espressa in una sola frase: l’AI aziendale accetta input esterni senza limiti di fiducia.

All’15 giugno, Varonis ha rivelato SearchLeak (CVE-2026-42824), una catena di esfiltrazione di proof-of-concept nel Microsoft 365 Copilot Enterprise Search. La vittima clicca su un link su microsoft.com che è stato elaborato, poi Copilot cerca la sua casella di posta e i dati vengono esfiltrati attraverso Bing SSRF. Non ci sono plugin, non un secondo clic, né indicatori visibili. Quattro giorni prima, Obsidian Security ha pubblicato una catena di tre CVE contro LiteLLM che portavano un utente basso privilegio predefinito fino ad amministratore e esecuzione di codice remoto. Due strumenti. Due team. Un unico limite rotto.

L'audit di cinque controlli alla fine di questo articolo mappa ogni lacuna a un CVE o a un segnale di mercato del mese di giugno, un comando che puoi eseguire prima di pranzo, e una frase che un CISO può leggere alla board.

Copilot ha trasformato un URL attendibile in un motore di esfiltrazione

SearchLeak ha concatenato tre vulnerabilità in una catena di furto di dati silenziosa. Il parametro URL q ha fornito direttamente le istruzioni dell’attaccante all’LLM di Copilot. Una condizione di rendering in gara ha sparato un tag immagine prima che il sanzitizzatore di output avesse eseguito il suo lavoro. Il endpoint di ricerca immagini di Bing, permette l’esfiltrazione grazie alla sua presenza allowlist nell’Content Security Policy. Microsoft ha valutato il difetto come critico e l'ha riparato sul backend, secondo Varonis.

L'NVD non lo ha ancora valutato; un tracciato terzo lo colloca a 6.5 come medio. La gravità è dibattuta, ma il meccanismo è incontestabile.

La escalation è la verità. Questo è il terzo report di un chain di varco di Copilot da parte di Varonis negli ultimi dodici mesi, dopo Reprompt a gennaio e EchoLeak nel 2025. Reprompt ha colpito Copilot Personal. SearchLeak ha colpito la ricerca Enterprise. La ricerca Enterprise eredita i permessi organizzativi completi dell’utente; quindi il raggio di colpo è tutto ciò che un utente può raggiungere.

LiteLLM ha consegnato un account predefinito a ogni fornitore

Il gateway LiteLLM mantiene le chiavi per OpenAI, Anthropic, Azure e Bedrock dietro un unico proxy. La catena di Obsidian esegue tre movimenti. CVE-2026-47101, un bypass delle autorizzazioni, permette a un non admin di rilasciare una chiave API jolly. CVE-2026-47102 promuove quella chiamata a amministratore della proxy tramite un endpoint /user/update non protetto. CVE-2026-40217 sfugge alla sandbox del codice eseguendo exec() con tutte le builtins. Obsidian ha quindi dimostrato un shell inverso introducendo una risposta finta di chiamata del tool attraverso il meccanismo di callback di LiteLLM. Obsidian ha valutato la catena complessiva a CVSS 9.9. Il programmatore ha digitato una parola. L’attaccante ha aperto una shell.

Separatamente, un altro bug in LiteLLM ha reso urgente. CVE-2026-42271, un problema di iniezione di comandi nei test endpoint MCP, è finito sul CISA KEV list il 8 giugno con termine di riparazione il 22 giugno. Quell’entry KEV non corrisponde alla catena Obsidian. Le due divulgazioni sono distinte e separate di quattro giorni, risolte in rilasci diversi, con lo stesso proxy gateway. LiteLLM riceve oltre 40.000 stelle su GitHub e ha migliaia di deployment aziendali. Questo non è nemmeno il primo spavento. Un compromesso di catena di fornitura ha backdoorato le versioni 1.82.7 e 1.82.8 su PyPI nel mese di marzo. Un gateway compromesso esponendo ogni chiave dei fornitori che l’organizzazione detiene.

Langflow e Mini Shai-Hulud hanno dimostrato che il modello si scala

Lo stesso limite è andato in fiamme in due strumenti in un lasso di due settimane. Langflow CVE-2026-5027 è diventato il terzo problema di esecuzione remota di Langflow a entrare attivamente in sfruttamento nel 2026. Un traversal di percorso nel caricamento dei file permette a un attaccante di scrivere file ovunque disco si trovi, e poiché Langflow parte con l'autologin abilitato per default, una singola richiesta non autenticata arriva a RCE.

VulnCheck ha confermato l’esplorazione il 9 giugno. Censys ha contato circa 7.000 istanze esposte, la concentrazione maggiore in Nord America, con attribution di MuddyWater.

La campagna Mini Shai-Hulud ha colpito un altro punto debole. Dopo che il codice sorgente worm è andato in pubblico il 12 maggio, le varianti di tipo copycat hanno compromesso 32 pacchetti npm Red Hat Cloud Services il 1° giugno, con circa 80.000 download settimanali. Il worm raccoglie oltre 20 tipi di credenziali e si propaga autonomamente usando l’identità del mantentore compromesso.

Quattro team, quattro strumenti, uno stesso fallimento operazionale. Le classi di bug cambiano. SearchLeak è un’iniezione di prompt. LiteLLM è escalation dei privilegi. Langflow è un problema di traversal. Mini Shai-Hulud è avvelenamento catena di fornitura. Il limite che ha fallito è lo stesso in tutti e quattro.

Il mercato ha già riprezzato il rischio

L’appello agli utili trimestrali di CrowdStrike per Q1 FY27 ha posto un numero su questa lacuna. AIDR, la gamma aziendale di rilevamento e risposta AI, ha visto la crescita del revenue annuale più del 250% in sequenziale, con un pipeline per il Q2 che superava i 50 milioni di dollari (SEC-filed 8-K). L’ ARR totale è arrivato a 5,51 miliardi dollari, e i dati di telemetria di CrowdStrike mostrano più di 1.800 applicazioni agente in esecuzione in terminali aziendali.

All’17 giugno, l’azienda