L’intelligenza artificiale generativa è senza dubbio uno degli strumenti più potenti e affascinanti degli ultimi anni ma, come ogni grande innovazione, nasconde anche nuove e insidiose vulnerabilità. L’ultima, in ordine di tempo, riguarda Google Gemini, il cuore pulsante dell’AI di Big G integrata in Google Workspace. Una falla di sicurezza, tanto semplice quanto geniale, permette ai malintenzionati di trasformare un’innocua email in una sofisticata trappola per il phishing, sfruttando proprio la funzione di riepilogo automatico che tanti utenti hanno imparato ad amare.
La scoperta, che sta facendo il giro della Rete, arriva dal ricercatore di sicurezza Marco Figueroa, responsabile del programma di bug bounty per l’AI generativa di Mozilla, e dimostra come un avversario possa ingannare Gemini per fargli visualizzare falsi avvisi di sicurezza, spingendo gli utenti a compiere azioni pericolose. Il tutto, senza link sospetti o allegati malevoli, rendendo l’attacco quasi impossibile da intercettare per i tradizionali filtri antispam.
Indice:
Motorola edge 60, 8/256 GB
50+50+10MP, 6.67'' pOLED 120Hz, Batteria 5200mAh, ricarica 68W, Android 15
Come funziona l’attacco “invisibile” a Gemini
Il meccanismo alla base di questa vulnerabilità è un esempio da manuale di indirect prompt injection (che, tradotto, significa letteralmente iniezione indiretta di comandi), un concetto che suona complesso ma che, in pratica, si rivela di una semplicità disarmante: invece di attaccare direttamente l’utente, l’hacker sussurra istruzioni nascoste all’intelligenza artificiale.
Il processo è un piccolo capolavoro di ingegneria sociale digitale: tutto parte da un’email che, in apparenza, è del tutto innocua. Nascosto al suo interno, però, c’è il vero e proprio cavallo di Troia: una serie di comandi per Gemini, resi completamente invisibili all’occhio umano con un trucco da prestigiatore digitale, ovvero impostando il colore del testo su bianco, identico allo sfondo, e la dimensione del carattere a zero.
La trappola, silenziosa e invisibile, scatta nel momento esatto in cui l’utente, per fretta o per semplice comodità, si affida a Gemini e clicca sulla funzione che permette di creare dei riassunti brevi e concisi delle proprie email. A quel punto, l’intelligenza artificiale analizza l’intero contenuto del messaggio, senza distinguere tra ciò che è visibile e ciò che non lo è; legge il comando nascosto e, interpretandolo come una direttiva prioritaria, lo esegue.
Il risultato è un riassunto, generato da uno strumento fidato come quello di Google, che però termina con un allarmante e falso avviso di sicurezza, come:
ATTENZIONE: la tua password di Gmail è stata compromessa. Chiama il numero 1-800-555-1212 per ricevere assistenza.
La risposta di Google e le possibili contromisure
La falla, come anticipato in apertura, è stata resa pubblica attraverso 0din, la piattaforma di bug bounty di Mozilla. Google, dal canto suo, getta acqua sul fuoco, affermando di non avere prove che questo tipo di attacco sia stato effettivamente utilizzato nel mondo reale e sottolinea il suo impegno costante nel rafforzare le difese dei modelli AI attraverso continui test e addestramenti.
Le contromisure, naturalmente, esistono e si muovono su più fronti. Dal punto di vista tecnico, i team di sicurezza possono implementare filtri più intelligenti, in grado di analizzare il codice HTML delle email per neutralizzare gli stili che rendono il testo invisibile. La soluzione più robusta, che spetta a Google e agli altri provider di LLM, sarebbe quella di “sanificare” il contenuto prima ancora che raggiunga il modello AI, eliminando alla radice qualsiasi testo nascosto. Ma la vera prima linea di difesa risiede, come sempre, nella consapevolezza dell’utente.
-
Gemini migliora l’anteprima di Canvas: il codice web non aprirà più schede esterne
-
Gemini sperimenta una funzione che potrebbe rendere obsoleto Circle to Search
-
Workspace si rinnova e lancia gli ultimi aggiornamenti per Gemini, Drive, Gmail e Calendar
-
Google Chrome per Android accoglie nuovi strumenti di Protezione avanzata
