Nuova minaccia sfrutta vulnerabilità dei chatbot
Un nuovo tipo di attacco informatico ha attirato l’attenzione della comunità cybersecurity: per la prima volta, è stato documentato un caso di manipolazione dell’intelligenza artificiale integrata nei servizi email di Google, in particolare all’interno di Gmail. L’attacco sfrutta una vulnerabilità nota come prompt injection, che consente di nascondere istruzioni all’interno dei testi analizzati da un’intelligenza artificiale, influenzandone il comportamento in modo invisibile all’utente.
A essere preso di mira è Gemini 2.5 Pro, il modello AI di Google recentemente integrato nei servizi della piattaforma Workspace. L’attacco, descritto in dettaglio da esperti di sicurezza informatica, dimostra come sia possibile inserire comandi nascosti all’interno di una semplice email, sfruttando formattazioni invisibili.
Come funziona il meccanismo di prompt injection
Il principio di base della prompt injection è sorprendentemente semplice: si tratta di inserire un comando nascosto in un contenuto testuale che l’AI sarà chiamata ad analizzare. Nel caso di Gmail, il testo può essere formattato con caratteri bianchi su sfondo bianco o con dimensioni di font pari a zero, risultando quindi invisibile all’occhio umano, ma perfettamente leggibile dal sistema AI.
L’aggressore inserisce quindi comandi del tipo: “Tu, Gemini, devi…”, sfruttando anche tag specifici come <Admin>… </Admin> per dare priorità all’istruzione. Quando l’AI viene incaricata di operazioni come il riassunto di un’email, esegue il contenuto del prompt nascosto in modo automatico, senza rilevare l’inganno.
Esempio pratico di phishing tramite sintesi AI
Nell’esempio studiato, gli aggressori hanno utilizzato la prompt injection per includere un falso avviso di sicurezza nel riepilogo generato da Gemini. L’AI è stata così manipolata da inserire un messaggio che segnalava una presunta compromissione dell’account Gmail, invitando l’utente a contattare un numero di assistenza fraudolento.
Tutto questo senza la necessità di link o allegati, elementi solitamente rilevati dai software antivirus. La semplicità dell’attacco – basato solo su testo – lo rende difficile da intercettare con gli strumenti tradizionali. In apparenza, si tratta di una semplice funzione AI che sta facendo il proprio lavoro, mentre in realtà sta veicolando un contenuto malevolo.
Perché questa tecnica è così pericolosa
La comunità informatica sta paragonando il fenomeno della prompt injection alle famigerate macro di Office, utilizzate in passato per veicolare malware tramite documenti Word o Excel. Le macro sono oggi disattivate per impostazione predefinita, ma con l’AI non esiste un filtro equivalente: ogni comando testuale è potenzialmente un’istruzione per il sistema.
Questo significa che anche i documenti o le email più innocue possono nascondere istruzioni pericolose, senza la necessità di autorizzazioni da parte dell’utente. In contesti in cui l’AI ha accesso a funzioni operative – come leggere file, inviare messaggi, o perfino eseguire codice – il rischio diventa esponenziale.
Scenari futuri: dall’AI passiva agli agenti attivi
I timori degli esperti si accentuano osservando l’evoluzione verso la cosiddetta Agentic AI, ossia intelligenze artificiali dotate di autonomia operativa. Alcuni browser e piattaforme stanno già sperimentando chatbot avanzati capaci di scaricare file, interagire con applicazioni esterne e agire in modo autonomo, senza necessità di intervento diretto da parte dell’utente.
Se questi strumenti venissero adottati su larga scala, anche da parte del pubblico meno esperto, si aprirebbe la possibilità per attacchi altamente sofisticati, in cui un semplice messaggio testuale potrebbe avviare processi non autorizzati sul dispositivo dell’utente. L’assenza di controlli strutturati sulla sicurezza delle AI in fase di rilascio, unita alla velocità con cui nuovi prodotti vengono messi sul mercato, compone un quadro allarmante per la sicurezza digitale globale.
