L'integrazione dell'intelligenza artificiale generativa nelle applicazioni quotidiane procede a ritmo sostenuto, ma la sicurezza sembra ancora un tema secondario. Ne è un esempio il caso emerso questa settimana, che coinvolge il modello Gemini di Google e la funzione di riepilogo automatico delle email su Gmail: secondo quanto scoperto dai ricercatori del programma 0din di Mozilla, un attacco di tipo prompt injection può trasformare i riassunti AI in un efficace veicolo per campagne di phishing.
ATTACCO BASATO SU PROMPT INVISIBILILa vulnerabilità riguarda la funzione "riassumi questa email", integrata di default nell'app Gmail per dispositivi mobili e ormai attiva senza che l'utente debba intervenire. L'obiettivo di questa funzione, secondo Google, è agevolare il flusso di lavoro offrendo sintesi rapide dei messaggi ricevuti. Tuttavia, il suo comportamento dipende completamente dalle risposte fornite dal modello Gemini, che può essere ingannato con istruzioni nascoste nel corpo del messaggio.
Come illustrato dal ricercatore Marco Figueroa, gli attaccanti possono inserire comandi invisibili all'interno dell'email utilizzando HTML e CSS per nascondere prompt testuali in colore bianco e dimensione font zero. In questo modo, l'utente non vede nulla di anomalo, mentre il sistema AI interpreta il contenuto nascosto come parte del messaggio da sintetizzare. L'effetto finale? Un finto avviso di compromissione dell'account Gmail che invita la vittima a telefonare a un numero e fornire un codice di riferimento.
STESSA VULNERABILITÀ NEI PRINCIPALI SERVIZI GOOGLESecondo l'analisi pubblicata da Mozilla su 0din, questo tipo di attacco è classificato a rischio “moderato”, poiché richiede comunque un'azione dell'utente, come ad esempio fidarsi del contenuto del riepilogo e rispondere all'invito contenuto nel messaggio manipolato. Tuttavia, le implicazioni sono gravi: un'operazione ben congegnata può portare al furto di credenziali tramite voice-phishing.
Ancora più allarmante è la possibilità che lo stesso metodo venga applicato anche ad altri strumenti della suite Google Workspace che integrano Gemini, come Docs, Slides e la funzione di ricerca in Drive. Newsletter, email di supporto automatiche e messaggi inviati in massa tramite servizi SaaS potrebbero diventare vettori di attacchi su larga scala, con il rischio di propagazione in ambienti aziendali e scolastici.
Figueroa ha definito le prompt injection “le nuove macro delle email”, un riferimento che richiama gli anni delle campagne malware diffuse attraverso documenti Office manipolati. A rendere il fenomeno ancora più insidioso è la crescente fiducia che gli utenti ripongono nei contenuti generati dall'AI, considerati in molti casi più affidabili di quelli scritti da persone.
In seguito alla segnalazione di Mozilla, Google ha dichiarato di essere al lavoro per rafforzare la sicurezza del sistema Gemini con un approccio multilivello, finalizzato a mitigare le prompt injection in tutte le piattaforme che utilizzano il suo modello. Non sono stati forniti dettagli sui tempi o sull'efficacia delle contromisure in corso.
Will Cillian Murphy play Voldemort in the Harry Potter TV show?