Principali Agenti IA Riscontrati Vulnerabili al Dirottamento, Rivela uno Studio

Alcuni dei più diffusi assistenti IA di Microsoft, Google, OpenAI e Salesforce possono essere dirottati da attaccanti con poche o nessuna interazione da parte dell’utente, secondo una nuova ricerca di Zenity Labs.

Presentati alla conferenza sulla cybersecurity Black Hat USA, i risultati mostrano che gli hacker potrebbero rubare dati, manipolare flussi di lavoro e persino impersonare utenti. In alcuni casi, gli aggressori potrebbero ottenere una “persistenza della memoria”, consentendo un accesso e un controllo a lungo termine.

“Possono manipolare le istruzioni, avvelenare le fonti di conoscenza e alterare completamente il comportamento dell’agente”, ha detto Greg Zemlin, responsabile del marketing di prodotto presso Zenity Labs, a Cybersecurity Dive. “Questo apre la porta a sabotaggi, interruzioni operative e disinformazione a lungo termine, soprattutto in ambienti in cui gli agenti sono affidati per prendere o supportare decisioni critiche.”

I ricercatori hanno dimostrato catene di attacco complete contro diverse principali piattaforme AI aziendali. In un caso, il ChatGPT di OpenAI è stato dirottato attraverso un’iniezione di prompt basata su email, permettendo l’accesso ai dati di Google Drive connessi.

È stato scoperto che Microsoft Copilot Studio perdeva database CRM, con oltre 3.000 agenti vulnerabili identificati online. La piattaforma Einstein di Salesforce è stata manipolata per dirottare le comunicazioni dei clienti verso account di posta elettronica controllati dagli aggressori.

Nel frattempo, Gemini di Google e Microsoft 365 Copilot potrebbero trasformarsi in minacce interne, capaci di rubare conversazioni sensibili e diffondere informazioni false.

Inoltre, i ricercatori sono riusciti a ingannare l’IA Gemini di Google per controllare i dispositivi per la casa intelligente. L’hacking ha spento le luci, aperto le tapparelle e avviato una caldaia senza i comandi degli abitanti.

Zenity ha divulgato i suoi risultati, spingendo alcune aziende a rilasciare delle correzioni. “Apprezziamo il lavoro di Zenity nell’identificare e segnalare responsabilmente queste tecniche”, ha detto un portavoce di Microsoft a Cybersecurity Dive. Microsoft ha affermato che il comportamento segnalato “non è più efficace” e che gli agenti di Copilot hanno delle misure di sicurezza in atto.

OpenAI ha confermato di aver corretto ChatGPT e gestisce un programma di ricompense per la segnalazione di bug. Salesforce ha dichiarato di aver risolto il problema segnalato. Google ha affermato di aver implementato “nuove difese stratificate” e ha sottolineato che “avere una strategia di difesa stratificata contro gli attacchi di iniezione di prompt è fondamentale”, come riportato da Cybersecurity Dive.

Il rapporto evidenzia l’aumento delle preoccupazioni per la sicurezza man mano che gli agenti IA diventano più comuni nei luoghi di lavoro e vengono fidati per gestire compiti delicati.

In un’altra recente indagine, è stato riportato che gli hacker possono rubare criptovalute dagli agenti Web3 AI piantando falsi ricordi che sovrascrivono le normali salvaguardie.

Il difetto di sicurezza esiste in ElizaOS e piattaforme simili perché gli aggressori possono utilizzare agenti compromessi per trasferire fondi tra diverse piattaforme. La natura permanente delle transazioni blockchain rende impossibile recuperare i fondi rubati. Un nuovo strumento, CrAIBench, mira ad aiutare gli sviluppatori a rafforzare le difese.