SearchLeak: la vulnerabilità che trasforma Microsoft 365 Copilot in uno strumento di furto dati
Scelta dalla redazioneUna ricerca di Varonis Threat Labs ha individuato una catena di vulnerabilità denominata SearchLeak capace di trasformare Microsoft 365 Copilot Enterprise in uno strumento involontario di esfiltrazione delle informazioni aziendali. La tecnica combina prompt injection, race condition e Server-Side Request Forgery per sottrarre dati sensibili sfruttando i permessi già concessi all'assistente AI. L'episodio conferma come la sicurezza degli assistenti AI dipenda non solo dal modello, ma dall'intera infrastruttura di integrazione e autorizzazione.
Perché conta
Le aziende che usano Microsoft 365 Copilot devono urgentemente rivedere i permessi concessi all'assistente AI e implementare una governance dei dati che limiti l'esposizione ai documenti sensibili.