Il problema non è mai l’algoritmo in sé, ma l’architettura che lo contiene. Microsoft Copilot, l’assistente AI integrato nell’ecosistema Microsoft 365, ha appena dimostrato al mondo che puoi avere i modelli più potenti, la scalabilità del cloud più sofisticata e il marketing più scintillante, ma se dimentichi di scrivere un log, allora tutto crolla. La vulnerabilità segnalata da Zack Korman, CTO di Pistachio, non è un difetto marginale, ma un disastro concettuale. Bastava chiedere a Copilot di sintetizzare un documento senza includere il link e il sistema saltava l’audit. Nessun log, nessuna traccia. Illegibilità perfetta. Una cancellazione della memoria aziendale in tempo reale.
Questa falla non ha colpito il cuore dell’AI, non ha intaccato i transformer, non ha infettato i modelli linguistici. Ha minato il suo scheletro invisibile, quella pipeline di logging che dovrebbe garantire trasparenza, compliance e governance. Il risultato è una ferita letale alla fiducia. Perché senza log non esiste accountability, senza accountability non esiste sicurezza AI, e senza sicurezza AI non esiste adozione enterprise. Microsoft ha rilasciato la patch il 17 agosto 2025, ma senza un CVE ufficiale e senza una comunicazione chiara ai clienti, come se si potesse rimuovere il problema con un aggiornamento silenzioso. Peccato che la fiducia non si reinstalla da Windows Update.
Il paradosso è che Copilot nasce per semplificare la vita aziendale, ma questa vulnerabilità lo trasforma in un complice perfetto per insider malintenzionati. Bastava un prompt studiato bene e l’IA diventava un canale invisibile per esfiltrare dati sensibili. Un sogno per lo spionaggio industriale. Un incubo per i CISO costretti a rispondere davanti a un board o a un’autorità di vigilanza, mentre i log ufficiali mostrano un rassicurante nulla di fatto.
Non si tratta di un caso isolato. È la punta di un iceberg che mette a nudo il lato oscuro di Microsoft Copilot. Prendiamo EchoLeak, una vulnerabilità zero-click che permetteva di inserire istruzioni malevole in email apparentemente innocue. Copilot le interpretava come comandi e, senza che l’utente facesse nulla, inviava dati sensibili verso server controllati da attaccanti. Un esempio clamoroso di come un modello di linguaggio mal addestrato al contesto diventa il cavallo di Troia perfetto. Non serve spear phishing, non serve ingegneria sociale: basta una stringa nascosta in un messaggio. È il trionfo della “prompt injection”, ma su scala industriale.
E non è finita. Altra perla: la vulnerabilità legata alla sandbox Python di Copilot Enterprise. Qui siamo al livello dell’errore da manuale. Uno script root (keepAliveJupyterSvc.sh) che eseguiva comandi usando pgrep senza specificare il percorso assoluto. In un container Docker dove la directory /app/miniconda/bin era scrivibile, bastava caricare un file malevolo con il nome pgrep per eseguire codice come root. È come costruire un grattacielo e lasciare la porta d’emergenza aperta con la chiave infilata. Una vulnerabilità così banale da sembrare incredibile, eppure sufficiente a compromettere l’intero backend.
Sommando i tre incidenti — il bypass dei log, EchoLeak e l’escalation a root — otteniamo un quadro devastante: un prodotto venduto come strumento di produttività enterprise si rivela un vettore di rischio sistemico. La narrativa rassicurante del copilota che ti assiste si frantuma di fronte all’immagine più realistica di un copilota che ti fa precipitare mentre credevi di essere in autopilota.
Il cuore della questione è culturale. Microsoft Copilot è figlio della velocità con cui i colossi stanno cercando di immettere l’AI nei flussi di lavoro aziendali. L’obiettivo non è stato la solidità, ma la penetrazione di mercato. Prima l’adozione, poi la sicurezza. Prima la monetizzazione, poi la trasparenza. È il classico modello “move fast and break things”, ma applicato non a una startup, bensì a un’infrastruttura globale usata da governi, banche, sanità. Chi pensa che questa sia un’eccezione non ha capito il copione: è l’effetto collaterale inevitabile di un’AI costruita più per vendere licenze che per garantire governance.
Questa vulnerabilità segna un punto di svolta perché mostra che la sicurezza AI non può essere un add-on. Non basta infilare un modulo di compliance a posteriori. L’AI deve nascere con una catena di fiducia end-to-end. Log immutabili, audit trail verificabili, sandbox progettati come se fossero frontiere di guerra e non laboratori didattici. Senza queste fondamenta, Copilot o qualsiasi altro assistente diventa un buco nero travestito da innovazione.
La cosa ironica è che Microsoft ha costruito la sua reputazione enterprise sulla forza della governance. Active Directory, Exchange, Office 365: prodotti accettati nei board perché controllabili, tracciabili, certificabili. Con Copilot, questa eredità è stata sacrificata sull’altare della velocità. E il prezzo non è solo tecnico, è reputazionale. Ogni CIO che oggi legge “Copilot” in una brochure Microsoft pensa al buco nei log, all’email invisibile di EchoLeak, al container bucato con un pgrep. Tre immagini che non si cancellano facilmente.
Il rischio più sottovalutato riguarda la compliance. Organizzazioni che hanno usato Copilot prima del 18 agosto 2025 hanno log potenzialmente incompleti. Questo significa che chiunque oggi dovesse affrontare un audit regolamentare potrebbe scoprire di avere archivi corrotti. In un contesto come quello europeo, dove l’AI Act impone trasparenza e accountability, questo non è un dettaglio tecnico, è una bomba a orologeria legale. E se pensiamo al settore sanitario o finanziario, dove la tracciabilità è vitale, la vulnerabilità assume i contorni di una catastrofe.
C’è chi sostiene che si tratti di un incidente fisiologico, una tappa inevitabile dell’evoluzione tecnologica. Ma questo è un alibi che non regge. Perché se l’AI deve diventare l’infrastruttura critica del futuro, non può essere costruita con leggerezza. Un copilota che non lascia tracce non è un copilota, è un complice. Un assistente che può essere manipolato con un prompt nascosto non è un assistente, è un traditore. E un sandbox che consente di diventare root con un file finto non è un sandbox, è un invito a nozze.
La vera lezione di Microsoft Copilot è che la sicurezza AI non è un optional tecnico, ma una condizione esistenziale. Non basta vendere intelligenza generativa, serve costruire un’infrastruttura che regga agli abusi interni, agli exploit creativi, agli errori concettuali. Se non ci sono log, non c’è fiducia. Se i prompt possono infiltrarsi senza filtri, non c’è protezione. Se i container sono bucati, non c’è architettura. È un’equazione brutale, ma necessaria.
La prossima volta che sentirete un dirigente parlare di “AI trasformativa”, ricordatevi di chiedere non quante slide produce in meno tempo, ma come scrive i log, come filtra i comandi, come isola i processi. Perché il futuro dell’AI non si gioca sul numero di email generate da Copilot, ma sulla capacità di garantire che ogni operazione sia trasparente, verificabile, sicura. La differenza tra un copilota che ti porta a destinazione e uno che ti fa schiantare sta tutta lì.