I ricercatori di sicurezza di FireTail hanno effettuato test con diversi chatbot AI, scoprendo che alcuni sono vulnerabili ad un particolare attacco di prompt injection, noto come ASCII smuggling. Dopo aver ricevuto la segnalazione, Google ha risposto che non è un bug di sicurezza, quindi non rilascerà un fix per Gemini.
Come funziona l’attacco ASCII smuggling
Lo standard Unicode include il blocco Tags, un gruppo di 97 caratteri speciali compreso tra U+E0000 e U+E007F che non sono visibili agli utenti. Possono però essere rilevati ed elaborati dagli LLM (Large Language Model) durante l’esecuzione di varie operazioni, come la generazione del riassunto di un testo.
Abusando dello standard, i cybercriminali possono sfruttare i caratteri invisibili per inserire istruzioni nascoste nel testo. Questa tecnica è nota come ASCII smuggling. Le conseguenze possono essere molto gravi. Nel migliore dei casi, un chatbot AI può fornire informazioni sbagliate. Nel peggiore dei casi può divulgare dati sensibili. I rischi aumentano notevolmente con l’uso degli agenti AI che eseguono le attività in maniera autonoma.
I ricercatori di FireTail hanno testato sei chatbot: Gemini, DeepSeek, Grok, ChatGPT, Copilot e Claude. I primi tre sono vulnerabili agli attacchi ASCII smuggling. I maggiori pericoli arrivano da Gemini, in quanto è integrato in Google Workspace. Un malintenzionato può nascondere istruzioni all’interno di un invito per Google Calendar. Gemini leggerà i caratteri invisibili e mostrerà dettagli fasulli e il link al meeting che porta ad un sito infetto.
Se Gemini è collegato a Gmail, un cybercriminale può nascondere nelle email le istruzioni per cercare dati sensibili e inviarli ad un server remoto. I ricercatori hanno segnalato il problema il 18 settembre. Google ha risposto che non è una vulnerabilità, quindi non rilascerà nessun fix.
Ti potrebbe interessare
13 ott 2025