Microsoft Semantic Kernel vulnerabile: scoperta una catena di RCE critica negli AI framework

Una vulnerabilità a punteggio massimo (CVSS 10.0) nel framework AI di Microsoft consente l'esecuzione di codice arbitrario. Il rischio riguarda milioni di applicazioni che usano agenti AI in produzione.

Microsoft Semantic Kernel vulnerabile: scoperta una catena di RCE critica negli AI framework

Questa settimana dev.to ha riportato la scoperta di una vulnerabilità critica di Remote Code Execution (RCE) nel Semantic Kernel di Microsoft, il framework open source che consente agli sviluppatori di integrare modelli di linguaggio con applicazioni .NET. Il problema è stato assegnato un punteggio CVSS di 10.0 — il massimo possibile — e interessa sia Semantic Kernel nella versione .NET v1.74 che il nuovo Agent Framework 1.0. Non si tratta di un semplice bug: la vulnerabilità sfrutta una catena di sei diversi bypass per ottenere l'esecuzione di codice arbitrario, rendendo il rischio concreto per qualunque applicazione in produzione che faccia affidamento su questi framework per orchestrare agenti AI.

Chi

Microsoft ha sviluppato Semantic Kernel come SDK open source per facilitare l'integrazione di LLM (Large Language Model) in applicazioni tradizionali. Il framework è diventato popolare tra sviluppatori che costruiscono pipeline AI estensibili e agenti intelligenti. La vulnerabilità è stata scoperta e divulgata attraverso un processo di coordinated disclosure, il che suggerisce che i ricercatori di sicurezza hanno lavorato con Microsoft prima della pubblicazione pubblica.

Cosa è successo

I ricercatori hanno identificato una catena completa di RCE che sfrutta difetti nell'interazione tra componenti del framework AI di Microsoft. La vulnerabilità consente a un attaccante di eseguire codice malizioso su sistemi che eseguono istanze vulnerabili di Semantic Kernel o Agent Framework 1.0. Secondo la divulgazione, l'exploit richiede sei bypass successivi per aggirare i controlli di sicurezza — un'indicazione della complessità tecnica ma anche della serietà della falla.

Il processo di divulgazione coordinata è stato completato, il che significa che i dettagli tecnici sono stati resi pubblici. Questo crea una finestra temporale critica per gli sviluppatori: chiunque usi Semantic Kernel .NET v1.74 o Agent Framework 1.0 deve aggiornare immediatamente le proprie applicazioni.

La scoperta arriva in un momento in cui le vulnerabilità legate agli AI framework stanno diventando sempre più frequenti. Sempre questa settimana, ricercatori hanno identificato una nuova classe di vulnerabilità nei sistemi di code review basati su AI, denominata "Comment and Control". Questi attacchi sfruttano i titoli dei pull request, i corpi delle issue e i commenti su GitHub per hijackare agenti di coding come Claude Code Security Review, Gemini CLI Action e GitHub Copilot Agent. Poiché questi agenti hanno spesso accesso ampio ai repository e girano in workflow automatizzati, un singolo commento malevolo può portare al furto di credenziali API e token.

Perché è importante

Semantic Kernel è uno dei framework più diffusi per costruire applicazioni AI in ecosistema .NET. Una vulnerabilità RCE con punteggio CVSS 10.0 significa che un attaccante può prendere il controllo completo del sistema senza alcun tipo di autenticazione o interazione dell'utente. Nel contesto di un'applicazione AI, questo comporta rischi amplificati:

Impatto sulla supply chain: Semantic Kernel è usato da sviluppatori in aziende di tutte le dimensioni. Se un'applicazione vulnerabile è esposta su Internet o accessibile da una rete interna compromessa, l'attaccante può eseguire codice con i privilegi dell'applicazione stessa. In ambienti cloud, questo potrebbe significare accesso ai dati sensibili, alle credenziali di servizio, o ai modelli AI addestrati.

Rischi specifici dell'AI: Gli agenti AI orchestrati da Semantic Kernel spesso hanno accesso a database, API esterne, e strumenti di sistema. Un attaccante che esegue codice arbitrario potrebbe:

Estrarre dati di training o modelli proprietari
Manipolare le risposte dell'agente AI per ingannare gli utenti
Usare l'agente come punto di partenza per compromettere sistemi collegati
Rubare credenziali API memorizzate in memoria o in configurazione

Precedenti rilevanti: Microsoft ha già affrontato vulnerabilità critiche in framework di orchestrazione. Nel 2023, vulnerabilità in Azure OpenAI SDK hanno messo in evidenza come le integrazioni AI possono diventare vettori di attacco se non gestite correttamente. Questa nuova scoperta conferma che il rischio non è diminuito.

Inoltre, la scoperta della vulnerabilità "Comment and Control" negli agenti di coding sottolinea come gli strumenti AI stessi — quando integrati in pipeline di sviluppo e deployment — creano nuove superfici di attacco. Le organizzazioni che hanno già adottato GitHub Copilot Agent o simili strumenti devono rivedere i permessi e i controlli di accesso.

Cosa aspettarsi

Aggiornamenti imminenti: Microsoft dovrebbe rilasciare patch di sicurezza per Semantic Kernel e Agent Framework entro i prossimi giorni. Gli sviluppatori devono monitorare gli annunci ufficiali e aggiornare le dipendenze il prima possibile.

Revisione delle configurazioni: Le organizzazioni dovrebbero condurre un audit delle applicazioni che usano Semantic Kernel, verificare quali versioni sono in produzione, e pianificare aggiornamenti prioritari per i sistemi esposti a Internet o a reti non attendibili.

Adozione di difese aggiuntive: Come suggerito dalla ricerca su dev.to, strumenti come CrowdSec — un motore di sicurezza open source che rileva comportamenti malevoli attraverso l'analisi dei log — possono fornire uno strato di protezione supplementare. CrowdSec integrato con Nginx Proxy Manager può bloccare IP sospetti e rilevare tentativi di exploit prima che raggiungano l'applicazione.

Monitoraggio dei log: Le organizzazioni dovrebbero abilitare logging dettagliato per tutte le istanze di Semantic Kernel e monitorare attività anomale come esecuzione di comandi inaspettati, accessi a file sensibili, o connessioni di rete insolite.

Valutazione del rischio per gli agenti AI: Con la scoperta di "Comment and Control", le aziende che usano agenti di coding o AI in pipeline CI/CD devono implementare il principio del least privilege: limitare i permessi dell'agente al minimo necessario, revisionare chi può creare commenti su repository sensibili, e monitorare i log di CI per invocazioni di strumenti inaspettate.

La vulnerabilità in Semantic Kernel è un promemoria che gli AI framework, pur essendo strumenti potenti, introducono nuovi vettori di attacco che le organizzazioni devono comprendere e mitigare attivamente.