Microsoft mette in guardia: Claude Code perdeva chiavi API e ora ci sono 7 nuovi modi per attaccare gli agenti AI

Un attacco poteva svolgersi in pochi, discreti passaggi:

1. Un aggressore apre una issue o una pull request apparentemente innocua in un repository pubblico che utilizza la GitHub Action di Claude Code.
2. Il corpo della issue o un commento HTML contiene istruzioni per l'agente AI, invisibili a un revisore umano che scorre la pagina.
3. Quando il flusso di lavoro viene attivato, il modello AI elabora il contenuto come parte del suo contesto e segue le istruzioni incorporate per leggere /proc/self/environ .
4. Il modello può quindi essere ulteriormente istruito per esfiltrare i dati, ad esempio pubblicandoli in un commento. I ricercatori hanno notato un perfezionamento in cui l'attacco rimuoveva i primi sette caratteri (sk-ant-) dalla ANTHROPIC_API_KEY per evitare il rilevamento da parte degli scanner automatici di segreti .

Questa superficie d'attacco — dove istruzioni in linguaggio naturale iniettate nei dati diventano comandi eseguibili — è il cuore del prompt injection, un vettore di minaccia che sta rapidamente definendo il panorama della sicurezza per gli agenti AI.

Una patch preventiva: la cronologia della segnalazione

Un dettaglio critico è che si è trattata di una divulgazione coordinata in cui la correzione è arrivata per prima.

• 5 maggio 2026: Anthropic ha rilasciato Claude Code 2.1.128, che ha mitigato la vulnerabilità allineando l'isolamento dello strumento Read con la pulizia dell'ambiente già applicata ad altri percorsi di esecuzione .
• 5 giugno 2026: Microsoft ha pubblicato la sua analisi dettagliata della minaccia, utilizzando il caso di studio per fornire raccomandazioni di sicurezza urgenti per l'intero settore .

Oltre un singolo bug: sette nuovi modi in cui i sistemi di IA agenziale falliscono

La segnalazione su Claude Code è avvenuta sullo sfondo di una valutazione di sicurezza più ampia. Il giorno prima, il 4 giugno 2026, l'AI Red Team di Microsoft aveva pubblicato la versione 2.0 della sua Tassonomia dei modi di fallimento nei sistemi di IA agenziale . Questo importante aggiornamento, basato su dodici mesi di esercitazioni reali di red-team contro agenti in produzione, ha aggiunto sette categorie di fallimento completamente nuove che vanno ben oltre un singolo difetto di esecuzione del codice.

I nuovi modi di fallimento rappresentano un'escalation significativa nel modo in cui i ricercatori di sicurezza pensano ai sistemi AI autonomi:

1. Compromissione della Catena di Fornitura Agenziale: A differenza dei tradizionali attacchi alla supply chain del software che forniscono codice malevolo, questo coinvolge plugin, server MCP o template di prompt compromessi che iniettano istruzioni in linguaggio naturale per alterare il comportamento di un agente senza attivare scanner di codice .
2. Dirottamento degli Obiettivi (Goal Hijacking): Un avversario crea istruzioni che sembrano aiutare a completare un compito legittimo, ma reindirizzano silenziosamente l'obiettivo finale dell'agente. L'agente rimane non compromesso dal punto di vista software, ma è stato trasformato in un'arma per un obiettivo dell'attaccante .
3. Escalation di Fiducia tra Agenti: Nei sistemi multi-agente, un agente compromesso può falsamente dichiarare un'identità con maggiore fiducia o permessi gonfiati a un orchestratore centrale che non li verifica indipendentemente. Questo agisce come una versione in linguaggio naturale del classico problema del "confused deputy" .
4. Attacco Visivo ad Agenti che Usano Computer (CUA): Gli agenti che operano attraverso interfacce grafiche possono essere manipolati da informazioni visive non ovvie per un umano, come testo nascosto, elementi dell'interfaccia fuori dallo schermo o immagini che incorporano un payload di prompt injection .
5. Contaminazione del Contesto di Sessione: Un attacco subdolo in cui un avversario introduce informazioni distorte o malevole all'inizio di una lunga sessione multi-step dell'agente. Questi dati potrebbero non attivare un controllo di sicurezza in nessun singolo passaggio, ma corrompono il ragionamento dell'agente in un'azione successiva, apparentemente scollegata .
6. Abuso di MCP / Plugin: Un focus aggiornato sulle superfici d'attacco specifiche del Model Context Protocol (MCP) e delle architetture a plugin, che stanno diventando il modo standard per estendere le capacità degli agenti .
7. Divulgazione di Capacità / Architettura: L'agente stesso può essere indotto a rivelare dettagli interni sensibili del progetto — come schemi di strumenti, interfacce di memoria o la logica che attiva l'approvazione umana — fornendo a un aggressore un progetto per attacchi futuri e più precisi .

Questa tassonomia ampliata ha portato il framework dai suoi originali 27 modi di fallimento a 34, riflettendo la crescente complessità e l'impronta nel mondo reale dei sistemi agenziali .

Rafforzare la CI/CD in un mondo agenziale

In risposta al caso Claude Code e all'aggiornamento più ampio della tassonomia, Microsoft ha delineato una serie di raccomandazioni di sicurezza per qualsiasi team che integri agenti AI nelle proprie pipeline di build. La guida sottolinea che un isolamento parziale è una falsa sicurezza.

• Tratta tutti i contenuti non attendibili come un vettore di iniezione: Non eseguire mai automaticamente un flusso di lavoro di un agente AI su issue, PR o commenti da contributori esterni. Questo contenuto deve essere trattato come un input potenzialmente ostile .
• Isola gli strumenti in modo coerente: Il divario tra lo strumento Bash isolato e lo strumento Read non isolato ha dimostrato che la pulizia dell'ambiente deve essere applicata uniformemente. Un singolo strumento non isolato può compromettere un intero flusso di lavoro .
• Applica il privilegio minimo: Le chiavi API e i token di accesso dell'agente dovrebbero avere l'ambito più ristretto possibile, limitando il danno in caso di esposizione. Usa OIDC per credenziali a breve termine e con ambito specifico quando possibile .
• Verifica l'esperienza del "fattore umano": I controlli di sicurezza che dipendono da una revisione umana possono fallire se il payload dell'attacco è nascosto in commenti Markdown o HTML grezzi che il revisore non vede mai. Il passo di approvazione umana è forte solo quanto ciò che viene reso visibile per l'approvazione .
• Inventaria la catena di fornitura dell'agente: I team dovrebbero generare una "distinta base software" (SBOM) per ogni agente distribuito, rispecchiando la visibilità sulla catena di fornitura che è ormai standard per il software tradizionale .

Intessuto in tutta questa guida c'è un principio architetturale fondamentale che la comunità della sicurezza chiama la "Regola del Due" . Originato dal framework di Meta dell'ottobre 2025 per la sicurezza pratica degli agenti, la regola afferma che un agente dovrebbe soddisfare non più di due delle seguenti tre condizioni: elaborare input non attendibili, avere accesso a dati sensibili e possedere la capacità di eseguire azioni che cambiano lo stato esterno . La vulnerabilità di Claude Code è stata una classica violazione di questo principio, poiché l'agente gestiva simultaneamente input da una PR non attendibile e deteneva potenti credenziali.