OpenAI e Claude bucati sei volte: rubavano token
Claude Code, Copilot e Codex sono stati violati: ma non hanno attaccato l'AI, hanno rubato le credenziali.
Segui Mente Informatica su Telegram
Offerte Amazon e notizie tech ogni giorno.
Claude Code, GitHub Copilot e OpenAI Codex sono stati tutti compromessi nel giro di nove mesi. E in nessuno dei sei exploit documentati l’attaccante ha cercato di “ingannare” l’intelligenza artificiale: ha rubato le credenziali che l’agente AI usava per autenticarsi ai sistemi di produzione.
Come funzionava ogni attacco: i dettagli che fanno male
Il 30 marzo 2026, il ricercatore Tyler Jespersen di BeyondTrust ha dimostrato che un nome di branch GitHub appositamente costruito poteva rubare il token OAuth di Codex in chiaro. Il meccanismo era brutalmente semplice: Codex clonava i repository includendo il token direttamente nell’URL del remote Git, e il nome del branch fluiva non sanificato nello script di setup.
Un punto e virgola, un subshell, e il token veniva esfiltrato silenziosamente. OpenAI ha classificato il bug come Critical P1 e ha rilasciato la patch entro il 5 febbraio 2026.
La parte più inquietante, però, era il camuffamento: aggiungendo 94 caratteri Ideographic Space (Unicode U+3000) dopo “main”, il branch malevolo appariva identico al branch standard nell’interfaccia web. Il developer vedeva “main”.
La shell eseguiva curl verso un server esterno.
⚠️ Attenzione: questi exploit non richiedevano accesso fisico né phishing classico. Bastava un repository malevolo che l’agente AI clonava autonomamente, senza che nessun umano autorizzasse esplicitamente l’operazione.
Su Claude Code di Anthropic sono arrivati due CVE e un bypass da manuale. CVE-2026-25723 permetteva di scappare dal sandbox tramite pipe di comandi sed ed echo, perché il command chaining non veniva validato.
Patched in versione 2.0.55. CVE-2026-33068 era più chirurgico: un repository malevolo impostava permissions.defaultMode su bypassPermissions nel file .claude/settings.json prima ancora che apparisse il dialog di fiducia del workspace.
L’utente non vedeva nessun avviso. Patched in 2.1.53.
Il terzo colpo su Claude Code lo ha trovato Adversa: superata la soglia dei 50 sottocomandi, l’agente smetteva silenziosamente di applicare le regole di deny. Gli ingegneri di Anthropic avevano fatto un compromesso tra sicurezza e velocità, e avevano smesso di controllare oltre il cinquantesimo sottocomando.
Patched in 2.1.90.
Copilot e Vertex AI: lo stesso schema, ogni volta
Johann Rehberger, con Markus Vervier di Persistent Security, ha dimostrato CVE-2025-53773 contro GitHub Copilot: istruzioni nascoste nella descrizione di una pull request spingevano Copilot a modificare .vscode/settings.json, abilitando la modalità auto-approve e concedendo esecuzione shell senza restrizioni su Windows, macOS e Linux. Microsoft ha corretto il bug nel Patch Tuesday di agosto 2025.
Orca Security ha poi replicato lo stesso schema dentro GitHub Codespaces, usando un’issue GitHub come vettore invece di una PR.
Come ha dichiarato a VentureBeat Merritt Baer, CSO di Enkrypt AI ed ex Deputy CISO di AWS, nel resoconto completo pubblicato da VentureBeat: “Le aziende credono di aver approvato un vendor AI, ma quello che hanno approvato è un’interfaccia, non il sistema sottostante.” Le credenziali sotto quell’interfaccia sono la vera superficie d’attacco.
Il problema non è il modello AI: è come gestisce i segreti
💡 L’analisi: Questi sei exploit dimostrano che il perimetro di sicurezza degli agenti AI coding non è il modello in sé, ma l’IAM sottostante: chi controlla i token controlla l’agente. Finché gli agenti operano con credenziali persistenti e sessioni non ancorate a un umano, ogni pipeline CI/CD che li usa è un potenziale punto di compromissione silenzioso.
Il pattern è sempre lo stesso: l’agente AI tiene una credenziale, esegue un’azione, si autentica a un sistema di produzione senza che ci sia una sessione umana attiva a fare da ancora. Carter Rees, VP of AI and Machine Learning at Reputation, ha descritto il problema come “broken access control”: il piano di autorizzazione piatto di un LLM non rispetta i permessi utente.
Il repository decideva cosa poteva fare l’agente. Il budget di token decideva quali regole di deny sopravvivevano.
Io uso Copilot quotidianamente nel mio workflow, e devo dire che questa serie di exploit mi ha fatto rivalutare quanto mi fido delle integrazioni automatiche con i repository. Non è l’AI a essere “stupida”: è che nessuno ha ancora risolto il problema di come un agente autonomo dovrebbe gestire segreti e permessi in ambienti multi-repo.
Vale la pena leggere anche cosa sta facendo OpenAI sul fronte degli agenti con OpenAI Codex: computer use, immagini e memoria Mac, perché le nuove funzioni ampliano esattamente questa superficie.
La vera domanda che nessuno sta facendo ad alta voce è questa: se un agente AI può autenticarsi autonomamente a GitHub, AWS o qualsiasi API aziendale, chi è responsabile quando quella credenziale viene rubata? Non il modello.
Non il vendor. L’azienda che ha dato all’agente un token con troppi privilegi e zero supervisione.
, Giorgio
Stay tech 🦾
LinkedIn ora legge tutto quello che fai e lo trasforma in un unico profilo su di te
ChatGPT ora può avvisare una persona cara se stai male: decide lui quando farlo
Falso progetto OpenAI: 244.000 download prima che scoprissero il malware
OpenAI porta la sua AI dentro Chrome: costa 100 dollari al mese e Safari resta fuori
Ho chiesto a ChatGPT come funziona. Ha risposto bene. Aveva torto.
