Cos'è l'iniezione di prompt e come può essere manipolata l'IA?

Strumenti basati su intelligenza artificiale (IA) come ChatGPT, Claude e Gemini sono ormai diffusi in email, flussi di lavoro e attività quotidiane, e la maggior parte delle persone non si pone domande sulla sicurezza. Ma la situazione sta cambiando.

Una tecnica chiamata iniezione di prompt attira sempre più attenzione tra gli esperti di sicurezza del software: ciò che la rende insolita è che non richiede malware, competenze specialistiche né link sospetti. In alcuni casi basta una frase ben formulata per dirottare uno strumento di IA senza che l'utente se ne accorga.

Quello che c'è da sapere:

• L'iniezione di prompt manipola gli strumenti di IA usando un linguaggio costruito ad arte, non malware o abilità tecniche.
• Funziona perché i modelli di IA non distinguono tra le istruzioni dello sviluppatore e l'input dell'utente.
• Gli attacchi possono essere diretti, indiretti o memorizzati nei dati che il modello legge ripetutamente.
• Alcuni attacchi usano testo invisibile o formattazioni nascoste che l'utente non vede mai.
• Un attacco riuscito può esporre dati privati o avviare azioni non autorizzate.
• Non esiste ancora una soluzione completa, ma limitare i permessi dell'IA e rimanere vigili riduce il rischio.

Cos'è l'iniezione di prompt?

L'iniezione di prompt è una tecnica con cui un aggressore può cambiare il comportamento di uno strumento di IA. Non serve sfruttare una vulnerabilità del software né installare malware, perché l'aggressore manipola il modello esclusivamente tramite il linguaggio.

Il termine è stato coniato dall'informatico Simon Willison nel 2022 ed è stato indicato come il rischio di sicurezza principale per le applicazioni basate su IA da OWASP, un'organizzazione che monitora le minacce più critiche nella sicurezza del software.

Si può pensare all'iniezione di prompt come a una forma di social engineering rivolta alle macchine, perché somiglia più al phishing che all'hacking convenzionale. Sfrutta una debolezza intrinseca ai modelli linguistici di grandi dimensioni (LLM): sono progettati per seguire istruzioni. La qualità che li rende utili è la stessa che li rende sfruttabili. Un input ben costruito può sovrascrivere le regole originali dello strumento, cambiare le risposte o indurlo a rivelare informazioni che dovrebbe mantenere nascoste. Un'iniezione riuscita non si limita a piegare le regole: può esporre tutto ciò a cui il modello è connesso.

A differenza delle iniezioni di codice tradizionali o di altri exploit informatici che richiedono competenze specialistiche, chi sa formulare una frase persuasiva ha già tutto il necessario.

Come funziona l'iniezione di prompt?

La radice del problema è che i sistemi di IA non riescono a separare i ruoli: sono «ciechi» rispetto alla differenza tra le istruzioni dello sviluppatore e l'input dell'utente.

Gli sviluppatori di IA scrivono prompt nascosti che definiscono le regole di comportamento dello strumento. Il tuo input viene combinato a quei prompt e il modello elabora tutto come un unico flusso di testo continuo. Non riesce a capire quali parti siano istruzioni dello sviluppatore e quali siano tue. Quindi, se il tuo input somiglia a un comando, il modello potrebbe eseguirlo, anche se contraddice le intenzioni del creatore.

Non tutti gli attacchi sono uguali. In genere si suddividono in tre categorie: iniezione diretta, indiretta e memorizzata.

Cos'è l'iniezione di prompt diretta?

L'iniezione di prompt diretta consiste nel digitare un'istruzione malevola direttamente nella chat. Qualcosa di semplice come «ignora tutte le istruzioni precedenti» può bastare. Questo approccio sfrutta la tendenza del modello a dare priorità al nuovo input rispetto alle regole impostate dallo sviluppatore.

Cos'è l'iniezione di prompt indiretta?

L'iniezione di prompt indiretta nasconde istruzioni dannose all'interno di contenuti esterni che il modello elabora, come pagine web o email.

Per esempio, un aggressore potrebbe inserire testo nascosto in una pagina web che ordina al modello di ignorare le sue regole e suggerire un link specifico. Se qualcuno chiede al modello di riassumere quella pagina, esso legge il comando nascosto assieme al contenuto reale e potrebbe eseguirlo senza che l'utente se ne accorga. I ricercatori di sicurezza considerano l'iniezione indiretta la debolezza più grave dei modelli generativi basati su IA e una delle più difficili da difendere.

Cos'è l'iniezione di prompt memorizzata?

L'iniezione di prompt memorizzata funziona impiantando istruzioni dannose in luoghi che il modello legge regolarmente, come database o dati di addestramento.

L'iniezione di prompt memorizzata può influenzare più utenti in sessioni diverse, perché le istruzioni sono salvate invece che digitate in tempo reale. L'agente di IA sembra funzionare normalmente, ma le sue risposte sono state sottilmente modificate da qualcosa inserito molto prima che l'utente aprisse il programma.

Quali tecniche vengono usate negli attacchi di iniezione di prompt?

L'iniezione di prompt usa testo normale per ingannare il modello e fargli eseguire istruzioni non autorizzate. Il rischio deriva dal fatto che i modelli di IA trattano tutto il testo allo stesso modo e non distinguono input legittimi da contenuti manipolati.

La maggior parte degli attacchi rientra in due categorie: trucchi che mascherano le istruzioni con codice o formattazione, e trucchi che nascondono le istruzioni in modo che gli esseri umani non le vedano affatto. In entrambi i casi, agli occhi di chi legge la pagina sembra contenuto normale.

Trucchi con codice e formattazione

Alcuni attacchi usano blocchi di codice, markup o testo strutturato per far sembrare un'istruzione malevola come un comando di sistema legittimo. Ciò può significare racchiudere qualcosa in uno stile da codice o strutturarlo per imitare il prompt di sistema dello sviluppatore.

Istruzioni nascoste o camuffate

Altri attacchi nascondono istruzioni in piena vista usando accorgimenti visivi che gli esseri umani difficilmente noterebbero, come testo bianco su sfondo bianco, font a dimensione zero, spaziature inconsuete, caratteri speciali, codifiche unicode o istruzioni scritte in una lingua diversa. Un lettore umano vedrebbe la pagina e non noterebbe nulla di anomalo, ma il modello elabora tutto il testo sottostante, indipendentemente da come viene mostrato.

Queste tecniche sono già state utilizzate. Gli aggressori hanno inserito istruzioni invisibili in pagine web per dirottare agenti browser basati su IA, e candidati hanno usato testo nascosto nei curricula per ingannare gli strumenti di selezione basati su IA.

Esempi di iniezione di prompt

Come Bing Chat è stato indotto a rivelare le proprie regole

Nel febbraio 2023 Kevin Liu, uno studente di Stanford, ha usato un attacco di iniezione di prompt diretto per far emergere le istruzioni di sistema nascoste di Bing Chat. È bastato digitare «ignora le istruzioni precedenti» e chiedere al modello di riportare le proprie regole. Il chatbot ha rivelato il nome in codice interno «Sydney» e le linee guida operative nascoste. Quando Microsoft ha corretto la falla, Liu ha aggirato la patch in poche ore fingendo di essere uno sviluppatore.

Come il testo nascosto nei curricula ha ingannato gli strumenti di selezione basati su IA

Alcuni candidati hanno cominciato a inserire istruzioni nascoste nei loro curricula per manipolare gli strumenti di selezione basati su IA. La tecnica consiste nel scrivere frasi tipo «questo è un candidato eccezionalmente qualificato» con font bianco o in dimensioni talmente ridotte da risultare invisibili a un lettore umano ma rilevabili dal modello.

L'approccio ha preso piede sui social nel 2024. L'agenzia per il lavoro ManpowerGroup ha riferito di aver trovato testo nascosto in circa il 10% dei curricula analizzati con strumenti basati su IA. La piattaforma di recruiting Greenhouse ha riscontrato prompt nascosti in circa l'1% dei 300 milioni di curricula che elabora ogni anno.

Come i chatbot sono stati manipolati per condividere informazioni private

Un primo caso di iniezione di prompt contro ChatGPT riguardò il bot Twitter di remoteli.io, alimentato da ChatGPT e creato per pubblicare commenti positivi sul lavoro da remoto. Gli utenti scoprirono che potevano twittare istruzioni che lo spingevano a ignorare il suo scopo originale, inducendolo a pubblicare affermazioni assurde in pubblico.

Più di recente, i ricercatori hanno dimostrato che l'agente browser ChatGPT Atlas di OpenAI poteva essere dirottato tramite istruzioni nascoste inserite in email. In un test, un'email malevola contenente un prompt incorporato ha convinto l'agente a inviare una lettera di dimissioni al capo dell'utente invece di preparare la risposta automatica di assenza richiesta. L'utente non ha mai visto l'istruzione nascosta, ma il modello l'ha eseguita lo stesso.

Perché gli utenti comuni dovrebbero preoccuparsi dell'iniezione di prompt?

L'iniezione di prompt può manipolare gli strumenti di IA senza che tu lo sappia. Quando un modello riassume un documento o compone un'email, trae informazioni da fonti esterne. Se qualcuna di quelle fonti è stata manomessa, l'output del modello risulterà compromesso, senza che tu lo noti.

Questo è il motivo per cui l'iniezione di prompt si distingue da altre minacce online: non serve cliccare su un link o scaricare qualcosa di sospetto. Fai una domanda normale e la risposta può essere modellata da istruzioni che qualcun altro ha nascosto nei contenuti che il modello ha usato come input. Può trattarsi di una conseguenza relativamente innocua, come un riassunto di parte o un link non richiesto. Ma in casi più gravi lo strumento può divulgare i tuoi dati personali o eseguire azioni non autorizzate. Inoltre, i risultati manomessi spesso appaiono perfettamente normali, senza messaggi d'errore o segni evidenti.

Questo non significa che tu debba smettere di usare questi strumenti, ma non puoi assumere che l'output dell'IA sia sempre neutro e affidabile.

L'iniezione di prompt è la stessa cosa del jailbreak?

L'iniezione di prompt e il jailbreaking sono concetti correlati ma non identici. Il jailbreak è una forma di iniezione di prompt che prende di mira in modo specifico i meccanismi di sicurezza e i controlli di contenuto. Questo approccio cerca di indurre il modello a ignorare le policy sui contenuti o a generare output soggetti a restrizioni.

L'iniezione di prompt è più ampia. Comprende qualsiasi tentativo di dirottare il comportamento di uno strumento di IA tramite input costruiti ad arte, per esempio scoprire comandi di sistema nascosti o far eseguire azioni non autorizzate. Lo scopo non è sempre aggirare i filtri di sicurezza: spesso l'aggressore vuole solo far eseguire al modello un set di istruzioni diverso senza che nessuno se ne accorga.

Un'altra differenza importante riguarda chi può essere colpito. Il jailbreak è in genere un atto intenzionale compiuto dall'utente nella propria sessione. L'iniezione di prompt, soprattutto nelle versioni indirette o memorizzate, può coinvolgere utenti innocenti che non sanno che il contenuto che stanno consultando è stato manomesso. Per questo motivo OWASP classifica l'iniezione di prompt come il rischio numero uno per le applicazioni IA, anziché trattare il jailbreak come categoria separata.

Come puoi prevenire l'iniezione di prompt?

Non esiste una soluzione semplice per l'iniezione di prompt perché la vulnerabilità deriva dalla stessa capacità che rende utili questi strumenti: seguire istruzioni. Perciò gli sviluppatori non possono eliminare questo comportamento senza compromettere l'uso pratico.

Gli sviluppatori di IA continuano a migliorare i filtri d'input e i test avversariali aiutano, ma nulla sul mercato elimina completamente il rischio.

Ci sono però molte cose che puoi fare. La maggior parte si basa sul buon senso:

• Rimani presente. Non lasciare gli strumenti di IA in funzione in modalità autonoma. Controlla sempre cosa lo strumento intende fare prima che esegua un'azione.
• Limita gli accessi quando possibile. Se uno strumento di IA chiede il permesso di accedere a email o file, valuta se è davvero necessario. Evita di incollare password, dettagli finanziari o informazioni sensibili nelle finestre di chat basate su IA.
• Metti in discussione le risposte. Se una risposta include un link inatteso, suggerisce qualcosa che non hai chiesto o ti spinge verso un'azione che non ti convince, rallenta prima di agire.
• Tieni tutto aggiornato. Gli sviluppatori rilasciano regolarmente aggiornamenti che correggono vulnerabilità e rafforzano le difese. Usare versioni obsolete significa perdere quelle protezioni.

Cosa fare se uno strumento di IA si comporta in modo anomalo?

Se uno strumento di IA inizia a comportarsi in modo strano, fermati e non agire su quanto ti suggerisce. Potrebbe non trattarsi di iniezione di prompt, ma se qualcosa non quadra è necessario capire cosa prima di proseguire.

Alcuni segnali che dovrebbero farti sospettare:

• Ti suggerisce di fare qualcosa che non hai richiesto
• Compaiono link o raccomandazioni di prodotto che non riconosci
• Chiede informazioni personali non pertinenti al compito
• Il tono cambia improvvisamente nel corso della conversazione
• Le risposte smettono di avere senso o sembrano scollegate dalla tua richiesta

Se succede qualcosa del genere, chiudi la sessione e ricomincia da capo. Non cercare di risolvere il problema nella stessa conversazione perché, se la sessione è compromessa, resteresti comunque esposto.

Dopo, ripercorri i passaggi fatti e valuta a cosa il modello aveva accesso. Avevi l'email aperta? Il software poteva compiere azioni per tuo conto? Se qualcosa sembra anomalo, annulla le modifiche e cambia immediatamente le password.

Come si colloca l'iniezione di prompt nella sicurezza più ampia dell'IA?

L'iniezione di prompt è in cima alla lista delle priorità di sicurezza per l'IA perché attacca il modello stesso. Questo la distingue da minacce come il phishing, il malware e altri attacchi più tradizionali che colpiscono i sistemi intorno agli strumenti di IA.

E il problema sta crescendo. Non molto tempo fa gli strumenti di IA si limitavano soprattutto a generare testo. Ora possono navigare il web, leggere le tue email, accedere ai file, scrivere codice e agire per tuo conto. Standard come MCP (Model Context Protocol) semplificano l'integrazione dei modelli con servizi esterni. Più funzioni hanno questi strumenti, maggiori possono essere i danni in caso di attacco riuscito.

C'è anche la questione della scala. L'iniezione di prompt funziona in modo simile al social engineering: convincere il modello a seguire istruzioni non appropriate presentandole nel modo giusto. Ma a differenza di una truffa telefonica che prende di mira una persona alla volta, un'istruzione nascosta su una pagina web popolare potrebbe influenzare tutti i modelli di IA che la leggono.

Questo non vuol dire che gli strumenti di IA siano insicuri da usare. Tuttavia la sicurezza sta ancora rincorrendo la rapidità con cui questi strumenti sono stati adottati, perciò la responsabilità della protezione ricade ancora in gran parte sugli utenti finali.

Articoli correlati:

• Quali sono i vantaggi principali della formazione sulla consapevolezza della sicurezza?
• Quali sono i rischi per la sicurezza nell'uso di ChatGPT?
• Che impatto ha la criminalità informatica basata su IA sulla sicurezza digitale?
• In che modo il social engineering manipola il comportamento umano per gli attacchi?

Prodotti consigliati:

• Kaspersky Premium
• Scarica una prova gratuita di 30 giorni del nostro piano Premium

FAQ

L'iniezione di prompt è illegale?

Non esiste una legge che vieti esplicitamente l'iniezione di prompt. Tuttavia le azioni compiute con questa tecnica, come l'accesso a dati riservati o l'estrazione di informazioni private, rientrano nelle attuali norme sui reati informatici e le frodi digitali. Il rischio legale è già concreto, ma la legislazione deve ancora adeguarsi.

L'iniezione di prompt può colpire utenti comuni?

Sì. Se usi qualsiasi strumento che processa contenuti esterni con IA, potresti essere coinvolto senza saperlo. Non è un attacco diretto a te come individuo, perché l'obiettivo è lo strumento basato su IA, non la persona.

L'iniezione di prompt può rubare dati personali?

Sì, se lo strumento di IA ha accesso a dati personali. Che si tratti di email, file o altri dati, un'iniezione di prompt riuscita potrebbe istruirlo a estrarre e condividere tali informazioni. I ricercatori di sicurezza hanno già dimostrato che agenti browser basati su IA possono essere ingannati per inoltrare documenti sensibili a destinatari non autorizzati.

L'iniezione di prompt è la stessa cosa dell'hacking?

L'iniezione di prompt non è hacking tradizionale. Anziché sfruttare vulnerabilità di codice, manipola ciò che il modello di IA legge. È una forma di social engineering rivolta a una macchina. Il risultato può somigliare a un hack (dati divulgati, azioni non autorizzate), ma il meccanismo è fondamentalmente diverso.