Shadow Leak: ecco come ChatGPT poteva essere usato come complice per trafugare informazioni riservate da Gmail

I ricercatori di sicurezza di Radware hanno presentato questa settimana i dettagli di Shadow Leak, un esperimento che mostra come gli agenti AI possano trasformarsi, se manipolati, in strumenti di furto dati silenziosi. L’attacco ha sfruttato una caratteristica peculiare degli agenti AI, strumenti capaci di agire in autonomia su incarico dell’utente, consultando documenti personali, email e calendari. Proprio questa intrinseca autonomia, sottolineano i ricercatori, apre scenari di rischio senza precedenti.

I ricercatori hanno fatto leva su una tecnica di prompt injection, ossia l’inserimento di istruzioni occulte che spingono l’agente a lavorare a favore dell’attaccante. Questi comandi possono restare invisibili agli occhi dell’utente, nascosti ad esempio in testo bianco su fondo bianco, ma perfettamente leggibili dall’intelligenza artificiale. Una volta eseguiti, l’agente è in grado di estrarre e trasmettere dati sensibili senza destare sospetti.

Il contesto della dimostrazione riguarda Deep Research, lo strumento integrato in ChatGPT lanciato da OpenAI nei mesi scorsi. I ricercatori hanno inviato un’email contenente l’istruzione malevola a un account Gmail collegato all’agente. Quando l’utente attivava Deep Research, la trappola si innescava automaticamente: l’AI eseguiva le istruzioni nascoste, cercava tra i messaggi informazioni riservate e inviava i dati all’esterno, senza che il proprietario dell’account ne fosse consapevole.

Secondo Radware, l’esperimento è stato tutt’altro che semplice: «Il processo è stato un’altalena di tentativi falliti, ostacoli e, infine, un punto di svolta», hanno spiegato i ricercatori. La particolarità di Shadow Leak è che, a differenza della maggior parte delle prompt injection, il furto di dati non avveniva dai dispositivi dell’utente, ma direttamente dall’infrastruttura cloud di OpenAI. Questo ha reso l’attacco invisibile ai sistemi e strumenti di sicurezza tradizionali.

Radware ha inoltre avvertito che lo stesso principio potrebbe minacciare altre piattaforme integrate con Deep Research, tra cui Outlook, GitHub, Google Drive e Dropbox. In questi scenari potrebbero essere sottratti documenti aziendali, contratti, note di riunione o interi archivi contenenti dati sensibili sui clienti.

OpenAI ha già corretto la vulnerabilità segnalata da Radware nello scorso mese di giugno, ma il test dimostrativo rappresenta comunque un monito importante sui limiti delle contromisure attuali e sulle nuove superfici di attacco aperte dagli agenti AI. Gli attacchi mostrano infatti come, una volta conquistata la fiducia degli utenti e ottenuto accesso ai loro sistemi, questi strumenti possano essere trasformati in vere e proprie “talpe digitali” a servizio degli hacker.