L’evoluzione delle minacce informatiche continua a seguire l’innovazione tecnologica. Se negli ultimi anni ransomware e attacchi alle supply chain hanno dominato il panorama della sicurezza, oggi i ricercatori stanno osservando un nuovo fronte di rischio legato agli strumenti di sviluppo basati su intelligenza artificiale. La scoperta di AgentJacking, una tecnica capace di manipolare agenti AI dedicati alla scrittura del codice, mostra come gli aggressori stiano iniziando a sfruttare le integrazioni tra piattaforme software e modelli linguistici per ottenere esecuzione di codice senza compromettere direttamente i sistemi bersaglio. Parallelamente, AWS ha pubblicato un avviso di sicurezza per una vulnerabilità classificata come importante all’interno della libreria aws-c-http, mentre Microsoft ha finalmente corretto un problema che per oltre un anno ha causato errori nell’installazione di aggiornamenti Windows tramite WUSA. Le tre vicende mostrano come il settore della sicurezza debba oggi confrontarsi contemporaneamente con minacce emergenti legate all’AI, vulnerabilità nelle infrastrutture cloud e problemi che continuano a interessare ambienti enterprise tradizionali.
Cosa leggere
AgentJacking inaugura una nuova categoria di attacchi contro gli agenti AI
I ricercatori di Tenet Security hanno identificato una tecnica battezzata AgentJacking, descritta come una nuova classe di attacco capace di manipolare gli agenti AI utilizzati nello sviluppo software. La scoperta riguarda l’interazione tra la piattaforma open source Sentry e il Model Context Protocol (MCP), uno standard sempre più utilizzato per consentire agli assistenti AI di accedere a dati, strumenti e servizi esterni. Secondo i ricercatori, un aggressore può sfruttare questa integrazione per introdurre istruzioni malevole che vengono successivamente interpretate dall’agente AI come informazioni legittime. Il risultato è la possibilità di indurre sistemi come Claude Code o Cursor a eseguire azioni arbitrarie direttamente sulla workstation dello sviluppatore. Ciò che rende particolarmente insidiosa questa tecnica è l’assenza di exploit tradizionali. Non vengono sfruttate vulnerabilità di memoria, escalation di privilegi o compromissioni dell’infrastruttura bersaglio. L’intera catena di attacco si basa sulla capacità di influenzare il contesto interpretato dall’agente AI.
Il ruolo del DSN e dell’integrazione con Sentry
L’attacco inizia dall’acquisizione del Data Source Name (DSN) utilizzato da Sentry. Si tratta di una credenziale pubblica progettata per consentire alle applicazioni di inviare eventi di errore alla piattaforma di monitoraggio. Poiché il DSN è generalmente incorporato nel codice client e deve essere accessibile per il corretto funzionamento del servizio, gli aggressori possono recuperarlo senza difficoltà.
Utilizzando questa informazione, viene inviata una richiesta POST all’endpoint di ingestione di Sentry contenente un evento artificiale costruito con cura. L’elemento chiave consiste nell’inserimento di contenuti formattati in Markdown all’interno dei campi del messaggio e delle strutture di contesto associate all’errore. Quando l’agente AI interroga il server MCP per ottenere informazioni sugli errori aperti, riceve anche l’evento malevolo che appare indistinguibile da una normale segnalazione tecnica. A quel punto il sistema interpreta il contenuto come parte delle istruzioni operative e può eseguire azioni controllate dall’attaccante.
Gli agenti AI eseguono codice con i privilegi dello sviluppatore
La parte più pericolosa della tecnica emerge quando uno sviluppatore utilizza l’assistente AI per analizzare problemi segnalati da Sentry. In questo scenario l’agente consulta automaticamente gli eventi registrati e riceve anche quello costruito dall’aggressore. Secondo Tenet Security, il contenuto malevolo viene interpretato come una procedura di troubleshooting o come indicazioni tecniche da seguire. Di conseguenza, l’agente può eseguire comandi, leggere file locali o raccogliere informazioni presenti nell’ambiente di sviluppo. Tutte queste operazioni vengono effettuate con i privilegi dell’utente legittimo, senza generare comportamenti che possano apparire immediatamente sospetti ai sistemi di difesa tradizionali. Le informazioni esposte possono includere variabili d’ambiente, token di accesso, credenziali Git, URL di repository privati e altri dati sensibili normalmente disponibili nelle workstation degli sviluppatori. Il rischio aumenta ulteriormente nelle organizzazioni che utilizzano agenti AI con capacità estese di automazione e accesso ai sistemi locali.
Un attacco che aggira molte difese tradizionali
Uno degli aspetti più rilevanti di AgentJacking riguarda la sua capacità di aggirare numerosi controlli di sicurezza. Poiché le azioni vengono eseguite da strumenti autorizzati e con credenziali legittime, tecnologie come EDR, WAF, controlli IAM, firewall aziendali, VPN e piattaforme di protezione perimetrale risultano in gran parte inefficaci. L’attacco non prevede phishing, download di malware o connessioni verso infrastrutture compromesse. Tutto avviene all’interno di flussi operativi considerati normali dagli strumenti di monitoraggio. I ricercatori hanno identificato almeno 2.388 organizzazioni esposte attraverso DSN pubblicamente accessibili e dichiarano di aver osservato un tasso di successo pari all’85% nei test effettuati contro oltre cento organizzazioni che utilizzano agenti AI di coding diffusi. Sebbene tali dati debbano essere interpretati nel contesto delle metodologie di ricerca adottate, evidenziano una superficie di attacco significativa che coinvolge strumenti sempre più diffusi negli ambienti di sviluppo moderni.
La risposta di Sentry e i limiti delle mitigazioni
Di fronte alla segnalazione, Sentry ha riconosciuto la complessità del problema. Secondo quanto riportato dai ricercatori, la piattaforma considera la vulnerabilità difficile da eliminare completamente poiché deriva dal modo in cui gli agenti AI interpretano i contenuti provenienti da fonti esterne. Come misura immediata è stato introdotto un filtro globale capace di bloccare una specifica sequenza utilizzata nei payload dimostrativi. Tuttavia questa mitigazione non affronta il problema strutturale rappresentato dalla fiducia che gli agenti AI ripongono nei dati ricevuti attraverso protocolli come MCP. La vicenda evidenzia una questione sempre più centrale nello sviluppo degli ecosistemi AI: la distinzione tra dati e istruzioni. Quando un sistema linguistico interpreta informazioni esterne senza una chiara separazione tra contenuto informativo e comando operativo, si aprono nuove opportunità per manipolazioni difficili da intercettare con i modelli di sicurezza tradizionali.
AWS corregge la vulnerabilità CVE-2026-12043
Sul fronte cloud, AWS ha pubblicato il bollettino 2026-043-AWS relativo alla vulnerabilità CVE-2026-12043, identificata nella libreria aws-c-http appartenente all’ecosistema AWS Common Runtime. Il problema consiste in una condizione di heap double-free, una categoria di vulnerabilità che può causare corruzione della memoria e aprire la strada all’esecuzione di codice arbitrario. L’origine del difetto risiede nella gestione degli aggiornamenti della dimensione della tabella dinamica HPACK, componente utilizzato dal protocollo HTTP/2 per la compressione delle intestazioni. In determinate condizioni, un server remoto controllato da un attaccante può inviare una sequenza appositamente costruita di frame HEADERS in grado di attivare il comportamento vulnerabile sul client. Sebbene l’attacco richieda la capacità di controllare il server con cui comunica l’applicazione bersaglio, il potenziale impatto è sufficiente da giustificare la classificazione di gravità Important assegnata da AWS.
SDK e librerie interessate dalla falla
La vulnerabilità interessa le versioni di aws-c-http comprese tra 0.4.22 e 0.10.15 incluse. L’impatto si estende inoltre a numerosi componenti che utilizzano tale libreria come dipendenza. Tra questi figurano diverse versioni di aws-sdk-cpp e aws-sdk-java-v2, strumenti largamente impiegati nello sviluppo di applicazioni che interagiscono con i servizi cloud di Amazon. Le organizzazioni che utilizzano queste librerie devono verificare rapidamente la presenza delle versioni vulnerabili nei propri ambienti e procedere agli aggiornamenti consigliati. AWS raccomanda l’adozione della versione 0.11.0 di aws-c-http, che incorpora le correzioni necessarie. Nei contesti in cui non sia possibile aggiornare immediatamente, l’azienda suggerisce come mitigazione temporanea l’utilizzo di connessioni HTTP/1.1 quando compatibili con i servizi utilizzati. Sebbene non rappresenti una soluzione definitiva, questa misura può ridurre l’esposizione eliminando il vettore legato alle funzionalità specifiche di HTTP/2 coinvolte nella vulnerabilità.
Microsoft risolve un problema storico di Windows Update
L’ultima notizia riguarda Microsoft, che ha corretto un problema noto associato a Windows Update Standalone Installer (WUSA). Per mesi amministratori di sistema e responsabili IT hanno segnalato errori durante l’installazione di aggiornamenti distribuiti tramite file .msu collocati su condivisioni di rete. Il malfunzionamento si manifestava con l’errore ERROR_BAD_PATHNAME e impediva il completamento corretto dell’aggiornamento quando nella cartella di rete erano presenti più pacchetti contemporaneamente. La problematica interessava principalmente ambienti aziendali basati su Windows 11 24H2, Windows 11 25H2 e Windows Server 2025, dove l’utilizzo di repository centralizzati per gli aggiornamenti rappresenta una pratica comune. Microsoft aveva inizialmente mitigato il problema tramite una Known Issue Rollback, ma la soluzione definitiva è arrivata soltanto con gli aggiornamenti cumulativi distribuiti nel giugno 2026.
Gli aggiornamenti che introducono la correzione definitiva
La correzione è stata integrata nei pacchetti KB5079391 per Windows 11 e KB5094125 per Windows Server 2025. Le aziende che gestiscono infrastrutture basate su queste piattaforme dovrebbero verificare la presenza degli aggiornamenti e pianificare la distribuzione quanto prima. Per i sistemi che continuano a utilizzare build precedenti, Microsoft suggerisce alcune soluzioni temporanee, tra cui la copia locale dei file .msu prima dell’installazione oppure l’attesa di circa quindici minuti dopo l’esecuzione di WUSA prima di verificare lo stato degli aggiornamenti installati. Sebbene il problema non rappresentasse una vulnerabilità di sicurezza nel senso tradizionale del termine, il suo impatto operativo era significativo, soprattutto negli ambienti enterprise che fanno ampio uso di distribuzioni centralizzate degli aggiornamenti.
AI, cloud e sistemi operativi convergono nel nuovo panorama delle minacce
Le tre vicende mostrano chiaramente come il panorama della sicurezza informatica stia attraversando una fase di trasformazione. AgentJacking dimostra che gli strumenti basati su intelligenza artificiale stanno diventando nuovi obiettivi e nuovi vettori di attacco. La vulnerabilità CVE-2026-12043 conferma invece che le infrastrutture cloud continuano a richiedere attenzione costante nella gestione delle dipendenze software e delle librerie fondamentali. La correzione rilasciata da Microsoft ricorda infine come anche problemi apparentemente secondari possano avere un impatto rilevante sulle operazioni quotidiane delle organizzazioni. Per sviluppatori, amministratori e responsabili della sicurezza il messaggio è chiaro: mantenere aggiornati strumenti, SDK, sistemi operativi e integrazioni AI non è più soltanto una buona pratica, ma una necessità essenziale per ridurre l’esposizione a minacce che stanno diventando sempre più sofisticate e distribuite lungo l’intera catena tecnologica.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
