Benvenuti nel brillante futuro dell’“Agentic Web”, dove ogni sito promette di diventare un compagno conversazionale intelligente e proattivo, alimentato da LLM e nutrito di prompt. O almeno così ci raccontano da Redmond, tra keynote epici e slide patinate. Peccato che questo futuro, costruito sul protocollo NLWeb di Microsoft, abbia già mostrato le crepe di un passato mai del tutto abbandonato: il solito, deprimente, banale path traversal.

Nel mondo reale, dove la sicurezza informatica non si improvvisa a colpi di marketing e presentazioni da evento, il team di ricerca composto da Aonan Guan e Lei Wang ha fatto una scoperta sconcertante. Hanno trovato una vulnerabilità critica nel neonato protocollo NLWeb, tanto decantato da Microsoft solo qualche mese fa durante Build. Una vulnerabilità classica, di quelle da manuale anni ‘90, che permette a chiunque, con un minimo di malizia e un URL modificato, di leggere file sensibili sul server. Inclusi, per la cronaca, file di configurazione e persino chiavi API di modelli LLM come OpenAI o Gemini.

Sì, avete capito bene. In un mondo dove si costruiscono agenti AI sempre più sofisticati, dove ogni pixel di interfaccia utente è progettato per sembrare “intelligente”, l’architettura di sicurezza del protocollo che dovrebbe fare da collante a tutto questo si lascia bucare con un semplice trucco da script kiddie. Nessuna autenticazione. Nessuna protezione. Solo un .env esposto al mondo.

Il punto non è soltanto il bug. I bug sono ovunque. Il problema è come e perché un bug così ovvio è sopravvissuto al presunto scrutinio intensivo che Microsoft vanta nella sua nuova narrativa di sicurezza. Lo storytelling corporate parla di “secure by design”, di threat modeling avanzato, di intelligenze artificiali che testano altre intelligenze artificiali. Ma poi, nella pratica, un protocollo open source destinato ad abilitare la prossima generazione di “AI search experiences” viene rilasciato con una falla tanto grossolana quanto devastante.

C’è una frase di Guan che dovrebbe essere incisa in ogni sala riunioni dove si progetta l’integrazione di LLM nelle aziende: “Un attaccante non ruba solo una credenziale, ruba la capacità dell’agente di pensare, ragionare e agire”. Questo è il paradosso dell’intelligenza artificiale moderna. Abbiamo creato agenti che si comportano come entità semi-autonome, dotate di memoria, obiettivi, persistenza, ma poi li proteggiamo come se fossero banali form HTML. È come lasciare la chiave di un caveau in un cassetto non chiuso a chiave, nel retro di un bar.

Microsoft, per parte sua, ha corretto la vulnerabilità. In silenzio. Nessun CVE. Nessuna disclosure strutturata. Nessuna assunzione di responsabilità pubblica. Il messaggio è stato affidato a un portavoce, Ben Hope, che ha detto che “il codice affetto non è usato nei nostri prodotti”. Interessante. Perché allora NLWeb è già stato adottato da clienti di rilievo come Shopify, TripAdvisor e Snowflake? La differenza semantica tra “i nostri prodotti” e “il nostro codice open source” non consola nessuno. Soprattutto se il codice vulnerabile è già in produzione da parte di terze parti.

Nel frattempo, Guan e Wang spingono per l’emissione di un CVE. Giustamente. Non solo per rispetto delle best practice di sicurezza, ma per rendere tracciabile una vulnerabilità che rischia di passare sotto il radar mentre viene implementata in silenzio su centinaia di siti e app. Perché diciamolo: senza CVE, il problema non esiste. O almeno, non esiste nella mente di quei decisori aziendali che si basano ancora su processi strutturati e checklist per valutare i rischi digitali. Ma la sicurezza non è un esercizio di forma. È sostanza. E qui la sostanza manca.

Questa storia puzza di fretta. Di go-to-market accelerato. Di roadmap schiacciate tra il bisogno di stupire gli investitori con una narrazione AI-first e la realtà del codice scritto di corsa da un team che probabilmente stava lavorando su quattro progetti contemporaneamente. Perché quando una grande tech company spinge un nuovo standard “disruptive”, la velocità è tutto. Ma la velocità e la sicurezza sono inversamente proporzionali se non c’è una vera cultura ingegneristica a monte. E Microsoft, nonostante il miliardo di dollari spesi in cyberdefense, sembra aver dimenticato questa regola fondamentale.

Curiosamente, mentre Microsoft mette toppe al suo protocollo AI-friendly, sta anche integrando nativamente il Model Context Protocol (MCP) in Windows. Altra tecnologia, altra corsa, altri rischi. MCP serve a mantenere lo stato conversazionale dei modelli nei vari contesti. Una sorta di memoria distribuita per agenti intelligenti. Sulla carta, una meraviglia. Nella pratica, un nuovo possibile attacco di superficie, come già segnalato da vari ricercatori. Se l’approccio sarà lo stesso di NLWeb, ci aspetta una serie infinita di fix silenziosi, exploit sottovalutati e report ignorati.

Nel frattempo, mentre i CEO parlano di “cognitive transformation” nei board meeting e i CISO cercano di arginare il caos con budget insufficienti, la realtà è che stiamo creando un ecosistema dove ogni agente AI può essere clonato, manipolato, sabotato. Non serve più prendere il controllo di un server. Basta un .env con la chiave giusta. È il sogno di ogni hacker. Una backdoor mentale. Un modo per infilarsi direttamente nel cervello digitale dell’azienda.

Chi pensa che tutto questo sia un’esagerazione non ha capito che gli LLM non sono solo strumenti di automazione. Sono interpreti del contesto aziendale, agenti operativi, decision maker limitati ma in continua evoluzione. Se comprometti la loro integrità, comprometti l’intera catena decisionale. Questo è il vero punto cieco della cybersecurity moderna. Non abbiamo aggiornato i nostri modelli mentali per un mondo in cui le macchine pensano. O perlomeno simulano di farlo abbastanza bene da gestire processi critici.

Microsoft ha fatto un errore grave. Non solo tecnico, ma culturale. Ha sottovalutato l’importanza di trattare i nuovi protocolli AI con la stessa severità con cui tratteremmo un kernel di sistema. Perché è questo che sono: il nuovo substrato operativo del web. La nuova base di fiducia. Se lì si annidano vulnerabilità, tutto il castello crolla.

E no, una patch silenziosa non basta. Serve trasparenza. Serve responsabilità. Serve una nuova generazione di protocolli progettati con paranoia sana, non con ottimismo ingegneristico. Perché nel mondo dell’Agentic Web, il prezzo di un bug non è un crash. È un furto d’identità cognitiva.

source: https://medium.com/@guanaonan/three-dots-to-root-how-i-found-a-path-traversal-in-microsofts-agentic-web-nlweb-4e8d8f483327