Un ricercatore ha scoperto una pericolosa falla in Google Gemini che permette di nascondere comandi all’interno di un testo, rendendoli invisibili all’utente ma eseguibili dall’intelligenza artificiale. Nonostante le implicazioni per la sicurezza, Google ha deciso di non risolvere la vulnerabilità, definendola un problema di ingegneria sociale e non un difetto tecnico del sistema. La scelta dell’azienda di Mountain View solleva serie domande sulla protezione dei dati e sull’affidabilità di uno degli assistenti AI più diffusi.
La vulnerabilità, battezzata con il termine tecnico “attacco ASCII smuggling”, è stata portata alla luce dal ricercatore di sicurezza informatica Viktor Markopoulos, che lavora per l’azienda FireTail. Il meccanismo dello sfruttamento si basa sull’inserimento di caratteri speciali, come caratteri di controllo o simboli Unicode, che rimangono completamente invisibili all’occhio umano quando visualizzati su uno schermo. Tuttavia, il modello di linguaggio di Google Gemini processa questi caratteri come se fossero comandi eseguibili, alterando il proprio comportamento in modi non voluti dall’utente finale.
Come Funziona l’Attacco e Quali Sono i Rischi
Markopoulos ha dimostrato in modo pratico come questa falla possa essere sfruttata attraverso vettori di attacco comuni e apparentemente innocui. Un invito a una riunione di calendario o un messaggio di posta elettronica potrebbero contenere al loro interno questi comandi nascosti. Una volta che Gemini interagisce con quel testo, per esempio per sintetizzarlo o rispondere a una domanda relativa, i comandi invisibili possono attivarsi. Durante i test, il ricercatore è riuscito a far modificare a Gemini i dettagli di un appuntamento o a generare deliberatamente output fuorvianti e inaccurati.
Il pericolo principale risiede nella difficoltà di individuare la minaccia. Poiché i caratteri dannosi non sono visibili, un utente non ha modo di sospettare che un testo normale stia in realtà impartendo istruzioni segrete all’intelligenza artificiale. Questo apre scenari preoccupanti, soprattutto in ambito aziendale, dove Gemini è integrato con servizi di posta elettronica come Gmail, strumenti di pianificazione e sistemi di gestione documentale. Un attaccante potrebbe potenzialmente:
- Ottenere l’accesso a informazioni riservate discusse in una chat.
- Manomettere appuntamenti e scadenze importanti in un calendario condiviso.
- Facilitare la diffusione di disinformazione all’interno di una rete aziendale.
- Indurre Gemini a compiere azioni non autorizzate su comando.
La Risposta di Google e il Paragone con la Concorrenza
La reazione di Google alla segnalazione di FireTail ha destato non poche perplessità nel mondo della cybersecurity. L’azienda ha infatti deciso di non classificare il problema come una vulnerabilità tecnica da correggere, bensì come un caso di ingegneria sociale. In sostanza, Google sostiene che la minaccia non derivi da un difetto intrinseco di Gemini, ma dalla possibilità di ingannare gli utenti, i quali potrebbero interagire con prompt di testo malevoli senza saperlo. Questa posizione è in netto contrasto con il comportamento di altri colossi tecnologici.
Quando lo stesso tipo di attacco è stato testato su altri modelli di intelligenza artificiale leader del settore, i risultati sono stati molto diversi. Sistemi come ChatGPT di OpenAI, Claude di Anthropic e Copilot di Microsoft hanno riconosciuto la natura sospetta degli input contenenti caratteri nascosti, neutralizzandoli o rifiutandosi di processarli. Al contrario, oltre a Google Gemini, anche Grok di Elon Musk e DeepSeek non sono riusciti a bloccare efficacemente questa minaccia, evidenziando un divario nelle politiche di sicurezza.
La decisione di Google appare ancor più singolare se si considera che l’azienda ha recentemente corretto altre falle di sicurezza scoperte in Gemini, un gruppo di vulnerabilità noto nella comunità degli esperti come Gemini Trifecta. Questa discrepanza di trattamento suggerisce che la società consideri l’attacco ASCII smuggling come un rischio accettabile o di bassa priorità, nonostante la differenza fondamentale nel modo in cui l’intelligenza artificiale e un essere umano leggono lo stesso testo rappresenti proprio il tipo di discrepanza che i malintenzionati cercano di sfruttare.
La vicenda mette in luce una questione cruciale per il futuro dell’intelligenza artificiale: la definizione delle responsabilità. Se da un lato le aziende sostengono che gli utenti debbano essere vigili, dall’altro la complessità e l’opacità di questi sistemi rendono quasi impossibile per una persona comune difendersi da attacchi così sofisticati. La scelta di Google di non intervenire potrebbe quindi creare un pericoloso precedente, lasciando gli utenti, specialmente quelli aziendali, potenzialmente esposti a rischi di manipolazione dei dati e violazioni della privacy. La sicurezza degli assistenti AI rimane un campo di battaglia in evoluzione, dove le scelte dei giganti tecnologici avranno un impatto diretto sulla fiducia degli utenti e sull’integrità delle informazioni.
