Security

Microsoft Defender: rischi degli agenti self-hosted

3 min di lettura

Riepilogo

Microsoft Defender avverte che gli agenti AI self-hosted come OpenClaw devono essere trattati come codice non attendibile con credenziali persistenti, perché possono ingerire contenuti esterni, scaricare skill di terze parti ed eseguirle con l’identità dell’host. La novità chiave è che convergono due supply chain di rischio — codice e istruzioni non affidabili — rendendo questi runtime pericolosi se eseguiti su workstation o ambienti dove risiedono token, credenziali e dati sensibili aziendali.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione: perché è importante

I runtime AI/agent self-hosted stanno arrivando rapidamente in progetti pilota aziendali, ma il modello di OpenClaw sposta il perimetro di sicurezza in modi per cui la sicurezza tradizionale delle workstation non è progettata. Poiché può ingerire testo non attendibile, scaricare ed eseguire skill esterne e operare con credenziali persistenti, Microsoft Defender raccomanda di trattare OpenClaw come esecuzione di codice non attendibile con identità durevole. In altre parole: non eseguirlo dove risiedono le credenziali, i token e i dati sensibili degli utenti.

Novità / punti chiave da Microsoft Defender

OpenClaw vs. Moltbook: separare il runtime dalla piattaforma di istruzioni

  • OpenClaw (runtime): Esegue su VM/container/workstation e eredita l’affidabilità dell’host e delle sue identità. Installare una skill equivale, di fatto, a eseguire codice di terze parti.
  • Moltbook (platform/identity layer): Un flusso scalabile di contenuti e istruzioni. Un singolo post malevolo può influenzare più agenti se lo ingeriscono secondo una pianificazione.

Due supply chain convergono in un unico ciclo di esecuzione

Microsoft evidenzia due input controllati da un attaccante che amplificano il rischio:

  • Untrusted code supply chain: Skill/estensioni prelevate da internet (ad esempio, registri pubblici come ClawHub). Una “skill” può essere semplice malware.
  • Untrusted instruction supply chain: Input testuali esterni possono veicolare indirect prompt injection che indirizza l’uso degli strumenti o modifica la “memory” dell’agente per rendere persistente l’intento dell’attaccante.

Il perimetro di sicurezza dell’agente: identità, esecuzione, persistenza

Defender descrive il nuovo perimetro come:

  • Identity: Token che l’agente utilizza (API SaaS, repository, email, cloud control planes)
  • Execution: Strumenti che può eseguire (shell, operazioni sui file, modifiche all’infrastruttura, messaggistica)
  • Persistence: Meccanismi che sopravvivono tra un’esecuzione e l’altra (config/state, pianificazioni, task)

Impatto su amministratori IT e utenti finali

  • Le workstation diventano host non sicuri per agenti self-hosted: il runtime può trovarsi vicino a credenziali di sviluppo, token in cache e file sensibili.
  • Aumenta il rischio di esposizione di credenziali e dati perché l’agente agisce con tutto ciò a cui può accedere, spesso tramite API legittime che si confondono con l’automazione normale.
  • Una compromissione durevole è plausibile se un attaccante può modificare state/memory o la configurazione dell’agente, causando comportamenti malevoli ricorrenti.

Azioni / prossimi passi (postura minima per operare in sicurezza)

  1. Non eseguire OpenClaw su workstation standard degli utenti. Valutarlo solo in un ambiente completamente isolato (VM dedicata, host container o sistema fisico separato).
  2. Usare credenziali dedicate e non privilegiate con permessi strettamente limitati; evitare accesso a set di dati sensibili.
  3. Trattare l’installazione di skill come un evento di approvazione esplicito (equivalente all’esecuzione di codice di terze parti). Mantenere un allowlist e verifiche di provenienza.
  4. Presumere che si verificheranno input malevoli se l’agente naviga contenuti esterni; dare priorità a contenimento e ripristinabilità rispetto alla sola prevenzione.
  5. Abilitare monitoraggio continuo e hunting allineati ai controlli di Microsoft Security (incluso Microsoft Defender XDR), con focus su accesso ai token, uso anomalo delle API e modifiche a state/config.
  6. Avere un piano di rebuild: operare come se l’host potesse richiedere re-imaging/rotazione frequenti per rimuovere la persistenza.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Microsoft Defender XDRagent securityruntime isolationleast privilegesupply chain risk

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.