Un nuovo studio di Radware ha rivelato come ricercatori di sicurezza siano riusciti a trasformare ChatGPT in un complice involontario di un attacco informatico mirato a Gmail. La vulnerabilità, ora risolta da OpenAI, dimostra però i rischi legati all'uso di agenti AI autonomi, strumenti sempre più diffusi ma anche potenzialmente pericolosi.
L'esperimento, chiamato Shadow Leak, sfruttava una tecnica nota come prompt injection: istruzioni nascoste all'interno di un'email che inducevano l'agente AI ad agire per conto degli attaccanti. A differenza delle classiche interazioni con chatbot, gli agenti AI possono navigare sul web, leggere documenti o accedere a email senza la supervisione costante dell'utente, il che li rende strumenti estremamente potenti ma anche vulnerabili a manipolazioni.
ChatGPT: il caso dell'attacco a Gmail
Nel caso specifico, i ricercatori hanno inviato un'email a un account Gmail già collegato a Deep Research, l'agente AI integrato in ChatGPT. Quando l'utente successivamente lo attivava, l'agente incontrava il prompt nascosto e iniziava a eseguire ordini malevoli: cercare messaggi dell'HR, raccogliere dati personali e inviarli silenziosamente agli hacker. Tutto ciò senza che la vittima se ne accorgesse.
La difficoltà maggiore per i ricercatori è stata riuscire a far sì che l'agente portasse a termine l'estrazione dei dati senza che i sistemi di sicurezza rilevassero l'anomalia. Secondo Radware, Shadow Leak rappresenta un caso unico perché il furto avveniva direttamente dall'infrastruttura cloud di OpenAI, risultando invisibile ai tradizionali strumenti di difesa informatica.
ChatGPT: non solo Gmail a rischio
Il rischio non si limita a Gmail. Gli esperti avvertono che lo stesso metodo potrebbe colpire altri servizi collegati a Deep Research, come Outlook, GitHub, Google Drive e Dropbox, consentendo il furto di contratti, note di riunioni o dati sensibili dei clienti.
OpenAI, informata della vulnerabilità a giugno, ha già corretto il problema, sottolineando la rapidità della risposta. Tuttavia, l'episodio mette in luce quanto sia complesso garantire la sicurezza in un contesto in cui l'IA autonoma può eseguire istruzioni nascoste che passano inosservate all'occhio umano, come testo bianco su sfondo bianco.
