Un’immagine può nascondere un attacco informatico. La nuova frontiera del cyber attacco si chiama prompt injection, una tecnica che sta allertando esperti e sviluppatori. Questo articolo esplora come i criminali informatici sfruttano questa vulnerabilità per compromettere i chatbot basati su intelligenza artificiale.
Cos’è la prompt injection e come funziona?
La prompt injection è un metodo di attacco che consiste nell’inviare istruzioni malevole a un chatbot, inducendolo a eseguire operazioni non autorizzate. Gli hacker nascondono questi comandi utilizzando contenuti che appaiono innocui, come un’immagine.
Una delle tecniche più comuni sfrutta messaggi email o documenti di testo, in cui il testo del comando è scritto in caratteri bianchi su uno sfondo bianco. Questo lo rende invisibile agli utenti, ma leggibile per il chatbot.
Varianti più sofisticate utilizzano codice HTML per rendere il testo totalmente invisibile.
Recentemente, due ricercatrici hanno scoperto un metodo inquietante: sfruttare il processo di downscaling delle immagini. Quando un chatbot riceve un’immagine di grandi dimensioni, questa viene ridimensionata per facilitare l’elaborazione. I ricercatori hanno dimostrato che un testo ben posizionato in un’immagine può riemergere durante il downscaling, diventando un comando per il chatbot.
Il potere delle immagini: come agisce il nuovo attacco
La scoperta di Kikimora Morozova e Suha Sabi Hussain ha portato alla luce uno strumento chiamato Anamorpher, capace di generare immagini concepite per nascondere comandi. Utilizzando sfondi scuri, il testo emerge in modo chiaro dopo il processo di riduzione dell’immagine, rendendo il comando possibile per il chatbot.
Un hacker potrebbe ordinare a un chatbot di inviare informazioni sensibili, come dati di accesso o informazioni personali, attraverso un’immagine innocua. Questo attacco è già stato testato con successo su chatbot come Gemini e Google Assistant, dimostrando la reale e concreta minaccia.
La situazione si complica ulteriormente con l’emergere dell’agentic AI, sistemi intelligenti in grado di agire autonomamente per conto dell’utente. Se un hacker riuscisse a sfruttare questa vulnerabilità, le conseguenze potrebbero essere disastrose, come l’acquisto di beni online senza consenso.
Come proteggersi dalla prompt injection
Per contrastare questa minaccia, le ricercatrici suggeriscono agli sviluppatori di rivedere le politiche di gestione delle immagini. Abbandonare le tecniche di downscaling potrebbe essere un primo passo; è fondamentale anche stabilire limiti sulle dimensioni delle immagini caricate.
In alternativa, si potrebbe addestrare i modelli di AI affinché non considerino i comandi all’interno delle immagini come legittimi.
In conclusione, la prompt injection rappresenta una nuova e insidiosa forma di attacco. È fondamentale che gli sviluppatori siano consapevoli di queste vulnerabilità e adottino misure preventive per proteggere i loro sistemi.
