La regola non è mai stata infranta

Il 30 giugno 2026 il team di sicurezza di Microsoft ha pubblicato un avviso sugli strumenti a cui si connettono i tuoi agenti AI. Il problema non è un virus né una falla non corretta. È la breve descrizione in linguaggio naturale che accompagna ogni strumento per dire all'agente cosa fa lo strumento e quando usarlo. Un agente legge quel testo e si fida. Se un aggressore lo modifica, l'agente segue la modifica.

L'esempio di Microsoft è volutamente banale. A un agente finanziario viene chiesto di raccogliere le ultime trenta fatture non pagate e di inviarle a un server. Ogni singolo passaggio sembra legittimo, quindi nulla fa scattare un allarme. L'agente non viene violato. Viene istruito, in un punto che nessuno pensava di sorvegliare.

È già successo

Non è uno scenario da laboratorio. Nel settembre 2025 alcuni ricercatori hanno trovato un pacchetto npm chiamato postmark-mcp che aveva replicato uno strumento email legittimo attraverso quindici versioni pulite. La versione 1.0.16 ha inserito una sola riga che copiava di nascosto ogni email inviata dall'agente verso un indirizzo esterno. I team che avevano approvato lo strumento mesi prima sono rimasti esposti nel momento stesso dell'aggiornamento.

Il motivo per cui questa categoria di attacco continua a funzionare è che la maggior parte dei controlli sorveglia il modello, non la cassetta degli attrezzi. Un filtro dei prompt legge ciò che l'utente digita. Non rilegge la descrizione di uno strumento di cui l'agente si fida da sei mesi, che è esattamente il punto in cui ora si nasconde l'istruzione.

Tratta i tuoi strumenti come una catena di fornitura

Le indicazioni di Microsoft sono il quadro giusto per un imprenditore. Ogni strumento connesso fa parte della tua catena di fornitura. Tieni un elenco di editori di strumenti approvati, disattiva il consenti tutto e lascia che ogni agente usi solo gli strumenti specifici di cui ha bisogno. Tratta la descrizione di uno strumento come un prompt di sistema, rivedi ogni sua modifica come rivedresti una modifica al codice e segnala i comandi che non hanno alcun motivo di trovarsi in un campo di aiuto.

Niente di tutto ciò richiede un nuovo prodotto. Richiede di sapere a cosa sono connessi i tuoi agenti, chi lo ha scritto e cosa è cambiato da quando lo hai approvato. La maggior parte delle aziende che introducono agenti in finanza, acquisti e assistenza non sa rispondere a queste tre domande oggi, ed è questa la vera esposizione.