Le piattaforme CX elaborano miliardi di interazioni non strutturate all’anno: moduli di sondaggio, siti di recensioni, feed social, trascrizioni di name heart, il tutto confluisce in motori di intelligenza artificiale che attivano flussi di lavoro automatizzati che riguardano buste paga, CRM e sistemi di pagamento. Nessuno strumento nello stack del chief di un centro operativo di sicurezza controlla ciò che il motore AI di una piattaforma CX sta inserendo e gli aggressori lo hanno capito. Avvelenano i dati che lo alimentano e l’intelligenza artificiale fa il danno per loro.
La violazione di Salesloft/Drift nell’agosto 2025 ha dimostrato esattamente questo. Attaccanti ha compromesso l’ambiente GitHub di Salesloftha rubato i token OAuth del chatbot Drift e avuto accesso agli ambienti Salesforce in oltre 700 organizzazioni, tra cui Cloudflare, Palo Alto Networks e Zscaler. Allora dati rubati scansionati per chiavi AWS, token Snowflake e password in testo normale. E non è stato distribuito alcun malware.
Questo divario è più ampio di quanto si rendano conto la maggior parte dei chief della sicurezza: il 98% delle organizzazioni dispone di un programma di prevenzione della perdita di dati (DLP), ma solo il 6% dispone di risorse dedicatesecondo il rapporto 2025 Voice of the CISO di Proofpoint, che ha intervistato 1.600 CISO in 16 paesi. E l’81% delle intrusioni interattive ora utilizza l’accesso legittimo piuttosto che malware, secondo il Risk Searching Report 2025 di CrowdStrike. Le intrusioni nel cloud sono aumentate del 136% nella prima metà del 2025.
“La maggior parte dei crew di sicurezza classifica ancora le piattaforme di gestione dell’esperienza come ‘strumenti di sondaggio’, che si collocano nello stesso livello di rischio di un’app di gestione dei progetti”, ha dichiarato a VentureBeat Assaf Keren, responsabile della sicurezza di Qualtrics ed ex CISO di PayPal, in una recente intervista. “Si tratta di una categorizzazione errata. Queste piattaforme ora si collegano a HRIS, CRM e motori di compensazione.” Solo Qualtrics elabora 3,5 miliardi di interazioni all’announa cifra che secondo l’azienda è raddoppiata dal 2023. Organizzazioni non può permettersi di saltare i passaggi sull’integrità dell’enter una volta che l’intelligenza artificiale entra nel flusso di lavoro.
VentureBeat ha trascorso various settimane intervistando i chief della sicurezza che lavorano per colmare questa lacuna. In ogni conversazione sono emersi sei errori di controllo.
Sei punti ciechi tra lo stack di sicurezza e il motore AI
1. DLP non può vedere i dati sul sentiment non strutturato che escono tramite chiamate API normal
La maggior parte delle coverage DLP classificano le informazioni strutturate di identificazione personale (PII): nomi, e-mail e dati di pagamento. Le risposte CX in testo aperto contengono reclami salariali, informazioni sanitarie e critiche da parte dei dirigenti. Nessuno corrisponde ai modelli PII normal. Quando uno strumento AI di terze parti estrae tali dati, l’esportazione assomiglia a una chiamata API di routine. Il DLP non si attiva mai.
2. I token API Zombie delle campagne terminate sono ancora attivi
Un esempio: Madvertising ha condotto una campagna CX sei mesi fa e la campagna è terminata. Ma i token OAuth che collegano la piattaforma CX a HRIS, CRM e sistemi di pagamento non sono mai stati revocati. Ciò significa che ognuno è un percorso di movimento laterale aperto.
Patrick Opet, CISO di JPMorgan Chase, ha segnalato questo rischio nella sua Lettera aperta di aprile 2025avvertendo che i modelli di integrazione SaaS creano “fiducia esplicita a fattore singolo tra i sistemi” attraverso token “non adeguatamente protetti… vulnerabili al furto e al riutilizzo”.
3. I canali di enter pubblici non hanno alcuna mitigazione dei bot prima che i dati raggiungano il motore AI
Un firewall per app Net ispeziona i payload HTTP per un’applicazione Net, ma nessuna di queste coperture si estende a una recensione di Trustpilot, a una valutazione di Google Maps o a una risposta a un sondaggio in testo aperto che una piattaforma CX integra come enter legittimo. Il sentimento fraudolento che inonda questi canali è invisibile ai controlli perimetrali. VentureBeat ha chiesto ai chief e ai fornitori di sicurezza se qualcuno copre l’integrità del canale di enter per le origini dati rivolte al pubblico che alimentano i motori IA CX; si scopre che la categoria non esiste ancora.
4. Il movimento laterale da una piattaforma CX compromessa viene eseguito tramite chiamate API approvate
“Gli avversari non irrompono, accedono”, ha dichiarato a VentureBeat Daniel Bernard, chief enterprise officer di CrowdStrike, in un’intervista esclusiva. “È un accesso valido. Quindi, dal punto di vista di un ISV di terze parti, hai una pagina di accesso e un’autenticazione a due fattori. Cos’altro vuoi da noi?”
La minaccia si estende sia alle identità umane che a quelle non umane. Bernard ha descritto quanto segue: “All’improvviso, terabyte di dati vengono esportati. È un utilizzo non normal. Sta andando in posti dove questo utente non è mai andato prima.” UN informazioni sulla sicurezza e gestione degli eventi (SIEM) vede l’autenticazione avere successo. Non vede questo cambiamento comportamentale. Senza ciò che Bernard chiama “gestione della postura del software program” che copre le piattaforme CX, il movimento laterale passa attraverso connessioni che il crew di sicurezza ha già approvato.
5. Gli utenti non tecnici detengono privilegi di amministratore che nessuno esamina
I crew di advertising, risorse umane e successo dei clienti configurano le integrazioni CX perché hanno bisogno di velocità, ma il crew SOC potrebbe non vederle mai. La sicurezza deve essere un fattore abilitante, afferma Keren, altrimenti i crew la aggirano. Qualsiasi organizzazione che non è in grado di produrre un inventario aggiornato di ogni integrazione della piattaforma CX e delle relative credenziali di amministratore è esposta all’amministrazione ombra.
6. Il suggestions in formato testo aperto arriva al database prima che le PII vengano mascherate
Le indagini sui dipendenti raccolgono i reclami sui supervisor per nome, reclami salariali e informazioni sanitarie. Il suggestions dei clienti è altrettanto esposto: dettagli dell’account, cronologia degli acquisti, controversie sul servizio. Niente di tutto ciò colpisce un classificatore PII strutturato perché arriva come testo libero. Se una violazione lo espone, gli aggressori ottengono informazioni personali smascherate lungo il percorso di movimento laterale.
Nessuno possiede questo divario
Questi sei fallimenti condividono una causa principale: la gestione del livello di sicurezza SaaS è maturata per Salesforce, ServiceNow e altre piattaforme aziendali. Le piattaforme CX non hanno mai ricevuto lo stesso trattamento. Nessuno monitora l’attività, le autorizzazioni o le configurazioni degli utenti all’interno di una piattaforma di gestione dell’esperienza e l’applicazione delle coverage sui flussi di lavoro AI che elaborano tali dati non esiste. Quando enter guidati da bot o esportazioni di dati anomali raggiungono il livello dell’applicazione CX, nulla li rileva.
Le squadre di sicurezza stanno rispondendo con quello che hanno. Alcuni stanno estendendo gli strumenti SSPM per coprire le configurazioni e le autorizzazioni della piattaforma CX. I gateway di sicurezza API offrono un altro percorso, ispezionando gli ambiti dei token e i flussi di dati tra le piattaforme CX e i sistemi downstream. I crew incentrati sull’identità stanno applicando controlli di accesso in stile CASB agli account amministratore CX.
Nessuno di questi approcci offre ciò che la sicurezza a livello CX effettivamente richiede: monitoraggio continuo di chi accede ai dati sull’esperienza, visibilità in tempo reale sulle configurazioni errate prima che diventino percorsi di movimento laterali e protezione automatizzata che applica le coverage senza attendere un ciclo di revisione trimestrale.
La prima integrazione creata appositamente per questa lacuna collega la gestione della postura direttamente al livello CX, offrendo ai crew di sicurezza la stessa copertura sull’attività del programma, sulle configurazioni e sull’accesso ai dati che già si aspettano per Salesforce o ServiceNow. Falcon Defend di CrowdStrike e la piattaforma XM di Qualtrics ne sono l’abbinamento. I chief della sicurezza VentureBeat intervistati hanno affermato che questo è il controllo che hanno costruito manualmente e su cui hanno perso il sonno.
Le squadre di sicurezza del raggio dell’esplosione non stanno misurando
La maggior parte delle organizzazioni ha mappato il raggio dell’esplosione tecnica. “Ma non il raggio d’azione dell’esplosione aziendale”, ha detto Keren. Quando un motore di intelligenza artificiale attiva un adeguamento del risarcimento basato su dati avvelenati, il danno non è un incidente di sicurezza. È una decisione aziendale sbagliata eseguita alla velocità della macchina. Questo divario si trova tra il CISO, il CIO e il proprietario della enterprise unit. Oggi nessuno lo possiede.
“Quando utilizziamo i dati per prendere decisioni aziendali, tali dati devono essere corretti”, ha affermato Keren.
Esegui l’audit e inizia con i token zombie. È qui che iniziano le violazioni su larga scala. Inizia con una finestra di convalida di 30 giorni. L’intelligenza artificiale non aspetterà.
