{"id":87168,"date":"2026-06-19T11:12:00","date_gmt":"2026-06-19T10:12:00","guid":{"rendered":"https:\/\/cms-articles.softonic.io\/it\/?p=87168"},"modified":"2026-06-19T11:12:36","modified_gmt":"2026-06-19T10:12:36","slug":"autojack-il-nuovo-attacco-una-pagina-web-puo-eseguire-codice-sul-tuo-pc","status":"publish","type":"post","link":"https:\/\/cms-articles.softonic.io\/it\/autojack-il-nuovo-attacco-una-pagina-web-puo-eseguire-codice-sul-tuo-pc\/","title":{"rendered":"AutoJack, il nuovo attacco: una pagina web pu\u00f2 eseguire codice sul tuo PC"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_69_1 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\"><p class=\"ez-toc-title\">Table of Contents<\/p>\n<\/div><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/cms-articles.softonic.io\/it\/autojack-il-nuovo-attacco-una-pagina-web-puo-eseguire-codice-sul-tuo-pc\/#AutoJack_il_nuovo_attacco_che_incrina_la_fiducia_in_localhost\" title=\"AutoJack, il nuovo attacco che incrina la fiducia in localhost\">AutoJack, il nuovo attacco che incrina la fiducia in localhost<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/cms-articles.softonic.io\/it\/autojack-il-nuovo-attacco-una-pagina-web-puo-eseguire-codice-sul-tuo-pc\/#Le_tre_debolezze_concatenate_che_hanno_aperto_la_strada_alla_RCE\" title=\"Le tre debolezze concatenate che hanno aperto la strada alla RCE\">Le tre debolezze concatenate che hanno aperto la strada alla RCE<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/cms-articles.softonic.io\/it\/autojack-il-nuovo-attacco-una-pagina-web-puo-eseguire-codice-sul-tuo-pc\/#Impatto_reale_e_stato_delle_correzioni\" title=\"Impatto reale e stato delle correzioni\">Impatto reale e stato delle correzioni<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/cms-articles.softonic.io\/it\/autojack-il-nuovo-attacco-una-pagina-web-puo-eseguire-codice-sul-tuo-pc\/#Perche_il_caso_interessa_anche_le_aziende\" title=\"Perch\u00e9 il caso interessa anche le aziende\">Perch\u00e9 il caso interessa anche le aziende<\/a><\/li><\/ul><\/nav><\/div>\n<p class=\"wp-block-paragraph\">AutoJack: il nuovo attacco che incrina la fiducia in localhost<\/p>\n\n<p class=\"wp-block-paragraph\">Microsoft ha descritto AutoJack come una nuova catena di attacco che, stando alla ricerca pubblicata dall\u2019azienda, pu\u00f2 trasformare una semplice pagina web malevola in un mezzo per eseguire codice sul computer della vittima. Succede quando un agente software carica contenuti dal web e, allo stesso tempo, interagisce con servizi privilegiati in esecuzione in locale.<\/p>\n\n<p class=\"wp-block-paragraph\">Il punto della ricerca \u00e8 abbastanza netto: se un agente software pu\u00f2 leggere il web e parlare con servizi privilegiati che girano sulla stessa macchina, il perimetro di fiducia di <strong>localhost<\/strong> non regge pi\u00f9 come prima.<\/p>\n\n<p class=\"wp-block-paragraph\">In concreto, il contenuto controllato da un attaccante non va a colpire direttamente il sistema operativo. Passa invece attraverso l\u2019agente, che finisce per fare da intermediario \u201cfidato\u201d.<\/p>\n\n<p class=\"wp-block-paragraph\">A quel punto basta aprire la pagina. Da l\u00ec, spiega Microsoft, il software locale pu\u00f2 essere spinto a contattare un servizio <strong>MCP<\/strong> in esecuzione sulla macchina e ad avviare processi arbitrari, senza che l\u2019utente debba fare altro.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"AutoJack_il_nuovo_attacco_che_incrina_la_fiducia_in_localhost\"><\/span>AutoJack, il nuovo attacco che incrina la fiducia in localhost<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Per i ricercatori di Microsoft, l\u2019aspetto pi\u00f9 rilevante della scoperta non riguarda soltanto <strong>AutoGen Studio<\/strong>. Il problema \u00e8 pi\u00f9 a monte, ed \u00e8 architetturale.<\/p>\n\n<p class=\"wp-block-paragraph\">Se un agente locale eredita identit\u00e0 e privilegi di un servizio esposto su <strong>127.0.0.1<\/strong>, allora una pagina remota pu\u00f2, di fatto, \u201cparlare\u201d con quel servizio passando proprio attraverso l\u2019agente, almeno secondo la ricostruzione di Microsoft.<\/p>\n\n<p class=\"wp-block-paragraph\">\u00c8 il classico caso di <strong>confused deputy<\/strong>.<\/p>\n\n<p class=\"wp-block-paragraph\">Il programma agisce con l\u2019autorit\u00e0 dell\u2019utente, ma viene portato a compiere azioni che servono gli interessi di un aggressore. La dimostrazione tecnica pubblicata da Microsoft, del resto, mette in fila diversi elementi che vanno proprio in questa direzione.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Le_tre_debolezze_concatenate_che_hanno_aperto_la_strada_alla_RCE\"><\/span>Le tre debolezze concatenate che hanno aperto la strada alla RCE<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">L\u2019exploit mostrato da Microsoft univa tre problemi distinti nell\u2019implementazione <strong>WebSocket<\/strong> del protocollo MCP in AutoGen Studio.<\/p>\n\n<p class=\"wp-block-paragraph\">Il primo riguardava una <strong>allowlist delle origin<\/strong> che, sempre secondo Microsoft, poteva essere aggirata, perch\u00e9 l\u2019agente di navigazione locale finiva di fatto per ereditare l\u2019identit\u00e0 di localhost.<\/p>\n\n<p class=\"wp-block-paragraph\">Il secondo punto era l\u2019assenza di <strong>autenticazione<\/strong> su alcuni percorsi WebSocket MCP. In base alla ricerca, i controlli standard l\u00ec non venivano applicati e non c\u2019erano protezioni aggiuntive a compensare.<\/p>\n\n<p class=\"wp-block-paragraph\">Il terzo problema stava nella gestione non sicura di un parametro chiamato <strong>server_params<\/strong>. Veniva passato via URL, decodificato e poi inoltrato direttamente alla logica di creazione dei processi, senza alcuna lista di eseguibili consentiti, almeno per quanto riportato da Microsoft.<\/p>\n\n<p class=\"wp-block-paragraph\">Il risultato? Un attaccante, sempre stando alla ricostruzione dei ricercatori, poteva indicare comandi come <strong><a href=\"https:\/\/powershell.it.softonic.com\/\" rel=\"noopener\">PowerShell<\/a><\/strong>, <a href=\"https:\/\/cake-bash.it.softonic.com\/\" rel=\"noopener\">Bash<\/a> o altri binari gi\u00e0 presenti sul sistema e ottenere cos\u00ec l\u2019avvio di processi arbitrari. Tradotto: esecuzione remota di codice a livello host.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Impatto_reale_e_stato_delle_correzioni\"><\/span>Impatto reale e stato delle correzioni<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Microsoft ha chiarito di aver segnalato il problema internamente al <strong>Microsoft Security Response Center (MSRC)<\/strong> e che il codice vulnerabile era presente solo nelle build di sviluppo con supporto MCP.<\/p>\n\n<p class=\"wp-block-paragraph\">La correzione, a quanto riferito dall\u2019azienda, \u00e8 arrivata prima di qualunque rilascio pubblico su <strong>PyPI<\/strong>. Se cos\u00ec stanno le cose, la falla non sarebbe mai finita nell\u2019attuale pacchetto di produzione.<\/p>\n\n<p class=\"wp-block-paragraph\">\u00c8 una distinzione che conta. Ma il nodo centrale resta.<\/p>\n\n<p class=\"wp-block-paragraph\">Il rischio, infatti, non si esaurisce in un singolo progetto. Microsoft avverte che vulnerabilit\u00e0 dello stesso tipo potrebbero comparire in un\u2019intera classe di framework per agenti autonomi.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Perche_il_caso_interessa_anche_le_aziende\"><\/span>Perch\u00e9 il caso interessa anche le aziende<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">La ricerca di Microsoft si inserisce in un filone sempre pi\u00f9 ampio di problemi di sicurezza legati ai software autonomi: trappole costruite per agenti che navigano sul web, attacchi contro assistenti di sviluppo, catene che partono dall\u2019iniezione di istruzioni e arrivano fino all\u2019esecuzione di codice, senza dimenticare i bug di esposizione dei dati in strumenti commerciali.<\/p>\n\n<p class=\"wp-block-paragraph\">Per le aziende il messaggio \u00e8 semplice: i modelli di difesa tradizionali non bastano pi\u00f9 quando un software pu\u00f2 leggere il web, prendere decisioni operative e interagire con risorse locali sensibili.<\/p>\n\n<p class=\"wp-block-paragraph\">La direzione indicata dagli esperti, riassunta anche da Microsoft, passa da <strong><a href=\"https:\/\/it.softonic.com\/articoli\/microsoft-class-action-negli-usa-dopo-il-tonfo-nel-mirino-azure-e-la-spesa\" rel=\"noopener\">zero trust<\/a><\/strong>, sandboxing e da un principio molto netto: ogni azione generata dall\u2019agente, compreso il codice che produce o i comandi che propone, va trattata come non affidabile per default.<\/p>\n\n<p class=\"wp-block-paragraph\">E qui si apre anche una questione pi\u00f9 profonda, quasi etica: ha davvero senso considerare affidabile per default un agente che legge il web, prende decisioni operative e mette mano a risorse locali sensibili?<\/p>","protected":false},"excerpt":{"rendered":"<p>AutoJack: il nuovo attacco che incrina la fiducia in localhost Microsoft ha descritto AutoJack come una nuova catena di attacco che, stando alla ricerca pubblicata dall\u2019azienda, pu\u00f2 trasformare una semplice pagina web malevola in un mezzo per eseguire codice sul computer della vittima. Succede quando un agente software carica contenuti dal web e, allo stesso &hellip; <a href=\"https:\/\/cms-articles.softonic.io\/it\/autojack-il-nuovo-attacco-una-pagina-web-puo-eseguire-codice-sul-tuo-pc\/\" class=\"more-link\">Continue reading<span class=\"screen-reader-text\"> &#8220;AutoJack, il nuovo attacco: una pagina web pu\u00f2 eseguire codice sul tuo PC&#8221;<\/span><\/a><\/p>\n","protected":false},"author":9332,"featured_media":87167,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","wpcf-pageviews":0},"categories":[2474],"tags":[],"usertag":[],"vertical":[],"content-category":[2675],"class_list":["post-87168","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","content-category-ia"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/posts\/87168","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/users\/9332"}],"replies":[{"embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/comments?post=87168"}],"version-history":[{"count":1,"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/posts\/87168\/revisions"}],"predecessor-version":[{"id":87169,"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/posts\/87168\/revisions\/87169"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/media\/87167"}],"wp:attachment":[{"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/media?parent=87168"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/categories?post=87168"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/tags?post=87168"},{"taxonomy":"usertag","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/usertag?post=87168"},{"taxonomy":"vertical","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/vertical?post=87168"},{"taxonomy":"content-category","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/it\/wp-json\/wp\/v2\/content-category?post=87168"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}