🛡️ Executive Summary
- Le vulnerabilità WriteOut e Rogue Agent compromettono gli ambienti di esecuzione degli agenti AI permettendo takeover degli account ed esfiltrazione dei dati.
- Le falle sfruttano una gestione inadeguata dell’isolamento tra sandbox, ambienti condivisi e codice eseguito dagli agenti.
- Writer AI e Google hanno distribuito gli aggiornamenti correttivi, evidenziando la necessità di rafforzare la sicurezza delle piattaforme AI enterprise.
L’adozione degli agenti basati su intelligenza artificiale continua ad accelerare nelle grandi organizzazioni, ma la loro diffusione porta con sé nuove superfici di attacco. Due vulnerabilità recentemente corrette dimostrano come errori architetturali negli ambienti di esecuzione possano trasformare funzionalità progettate per facilitare lo sviluppo in strumenti di compromissione. La prima, denominata WriteOut, interessa la piattaforma Writer AI e permette il takeover completo di account appartenenti a tenant differenti attraverso un semplice link di anteprima condiviso. La seconda, ribattezzata Rogue Agent, colpisce Dialogflow CX di Google Cloud, consentendo di modificare in maniera persistente il comportamento degli agenti conversazionali, intercettando dati sensibili e manipolando le risposte destinate agli utenti. Pur sfruttando tecniche differenti, entrambe le vulnerabilità mettono in evidenza un problema comune: la mancanza di un isolamento rigoroso tra codice controllato dall’utente e componenti privilegiati dell’infrastruttura.
Cosa leggere
WriteOut compromette Writer AI con un takeover cross-tenant
La vulnerabilità WriteOut nasce dal sistema di anteprima live utilizzato da Writer AI per mostrare il funzionamento degli agenti generativi. Le anteprime vengono servite dallo stesso dominio dell’applicazione principale e un proxy inoltra automaticamente i cookie di autenticazione verso il sandbox che esegue il codice dell’agente. Un attaccante deve semplicemente creare un agente malevolo, generare un link pubblico di anteprima e convincere una vittima autenticata ad aprirlo. A quel punto il browser trasmette il cookie di sessione, che viene inoltrato all’ambiente controllato dall’attaccante.

Il codice in esecuzione nel sandbox recupera il token direttamente dalla memoria del processo e lo invia all’esterno, consentendo all’aggressore di autenticarsi come la vittima senza conoscerne le credenziali. L’attacco aggira anche i filtri presenti sulla piattaforma sfruttando il download e l’esecuzione di script remoti, evitando che il codice dannoso sia presente nelle istruzioni iniziali dell’agente.
Un semplice link può compromettere interi ambienti aziendali
L’aspetto più preoccupante della vulnerabilità è l’assenza di qualsiasi relazione tra attaccante e organizzazione bersaglio. È sufficiente un account qualsiasi sulla piattaforma per preparare l’agente malevolo e distribuire il link tramite email, messaggistica o social engineering. Dopo il takeover, l’aggressore eredita tutti i privilegi dell’utente compromesso e può consultare conversazioni riservate, documentazione interna, prompt di sistema, configurazioni degli agenti, modelli linguistici e connettori verso basi dati aziendali. In organizzazioni che utilizzano Writer AI per attività di supporto, sviluppo o analisi documentale, una singola compromissione può trasformarsi rapidamente in una violazione estesa del patrimonio informativo. Proprio per eliminare questa possibilità, Writer ha modificato l’architettura della piattaforma rimuovendo il forwarding dei cookie verso il sandbox e separando completamente il dominio utilizzato per le anteprime.
Rogue Agent colpisce Dialogflow CX attraverso i Playbook
La seconda vulnerabilità interessa Dialogflow CX, la piattaforma di Google Cloud utilizzata per sviluppare agenti conversazionali destinati a contact center, assistenza clienti e servizi enterprise. Il problema riguarda i Playbook Code Blocks, che consentono agli sviluppatori di eseguire codice Python personalizzato all’interno dei flussi conversazionali.

Tutti gli agenti appartenenti allo stesso progetto condividono il medesimo ambiente Cloud Run, creando un punto di fiducia comune. Un utente che dispone del permesso dialogflow.playbooks.update su un solo agente può modificare componenti condivisi dell’ambiente di esecuzione, sostituendo il file code_execution_env.py utilizzato dal runtime. Da quel momento ogni conversazione gestita dagli altri agenti del progetto attraversa il codice alterato dall’attaccante, che acquisisce la possibilità di monitorare, modificare e manipolare il comportamento dell’intero ambiente.
Esfiltrazione delle conversazioni e phishing invisibile

La tecnica di attacco prevede il download di un file modificato da un bucket pubblico di Google Cloud Storage, che viene installato nel container condiviso. Il codice intercetta la cronologia completa delle conversazioni e i parametri di sessione prima dell’esecuzione del flusso applicativo. Informazioni come identificativi utente, stato della conversazione e dati trasmessi durante il dialogo possono essere inviate silenziosamente verso server controllati dall’attaccante.

Parallelamente diventa possibile utilizzare la funzione respond() per inserire messaggi fraudolenti perfettamente integrati nella conversazione, inducendo l’utente a seguire collegamenti di phishing o a reinserire credenziali apparentemente richieste dal servizio. Una volta completata l’operazione, il codice del playbook può essere ripristinato alla configurazione originale, mentre la modifica del runtime continua a rimanere attiva fino al riavvio del container, rendendo complessa l’individuazione dell’incidente anche attraverso i normali log di sistema.
Impatti sulle piattaforme AI enterprise
Entrambe le vulnerabilità dimostrano come il vero punto critico delle moderne piattaforme AI non risieda esclusivamente nei modelli linguistici, ma soprattutto nell’infrastruttura che li ospita. Gli agenti gestiscono sempre più frequentemente dati finanziari, documentazione riservata, informazioni sanitarie e conversazioni con i clienti. Un takeover dell’account, come nel caso di Writer AI, oppure la compromissione dell’ambiente condiviso, come in Dialogflow CX, possono trasformarsi rapidamente in violazioni di ampia portata, con implicazioni dirette sul rispetto di normative quali GDPR e HIPAA. Inoltre, la disponibilità di connettori verso archivi documentali, CRM e piattaforme cloud consente agli attaccanti di estendere il raggio d’azione ben oltre la singola applicazione AI, sfruttando i privilegi ereditati dagli utenti o dagli agenti compromessi.
Lezioni per la sicurezza degli agenti AI
Le correzioni distribuite dai due fornitori seguono la stessa filosofia: ridurre al minimo i privilegi disponibili negli ambienti di esecuzione e rafforzare l’isolamento tra componenti fidati e codice controllato dagli utenti. Writer AI ha separato le anteprime dall’ambiente principale eliminando il trasferimento dei cookie di sessione, mentre Google ha distribuito aggiornamenti progressivi tra aprile e giugno 2026 per impedire modifiche persistenti ai runtime condivisi di Dialogflow CX. Le due vicende confermano che sandbox, container e ambienti gestiti non costituiscono automaticamente un confine di sicurezza. Le organizzazioni che adottano agenti AI dovrebbero includere questi aspetti nelle valutazioni dei fornitori, limitare rigorosamente i privilegi assegnati agli sviluppatori, monitorare le modifiche ai componenti condivisi e considerare ogni ambiente di esecuzione come potenzialmente ostile. Con l’espansione dell’AI enterprise, la sicurezza non dipenderà soltanto dalla qualità dei modelli, ma soprattutto dalla robustezza dell’architettura che ne governa l’esecuzione e l’accesso ai dati aziendali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









