Microsoft: ecco come si manipola la memoria dei chatbot
Topic
Approfondimenti
Trending
tutti

Microsoft: ecco come si manipola la memoria dei chatbot

Microsoft ha scoperto un particolare tipo di attacco di prompt injection che permette di manipolare la memoria dei chatbot AI a scopo promozionale.
Microsoft: ecco come si manipola la memoria dei chatbot
Sicurezza Business AI
Microsoft ha scoperto un particolare tipo di attacco di prompt injection che permette di manipolare la memoria dei chatbot AI a scopo promozionale.
Google AI Studio

Microsoft ha scoperto un nuovo tipo di attacco contro i chatbot AI. È stato scelto il nome AI Recommendation Poisoning, in quanto viene manipolata la memoria degli assistenti digitali per ottenere suggerimenti a scopo promozionale. È una forma di prompt injection perché si utilizzano istruzioni nascoste in un pulsante. L’azienda di Redmond ha già implementato mitigazioni in Copilot.

Come funziona la manipolazione della memoria

Tutti i chatbot AI offrono la funzionalità di memoria. In pratica ricordano preferenze personali, contesto e istruzioni delle precedenti conversazioni. Questa persistenza delle informazioni viene sfruttata dagli attacchi AI Memory Poisoning (avvelenamento della memoria AI). Vengono iniettate istruzioni non autorizzate nella memoria che influenzano le future risposte.

Il prompt viene nascosto in un link presente su pagine web o in email, inserito in un documento o copiato inavvertitamente dall’utente. L’evoluzione più recente di questo attacco, scoperta da Microsoft, si chiama AI Recommendation Poisoning (avvelenamento dei suggerimenti AI).

Su diversi siti è stato aggiunto un pulsante “Summarize with AI” (Riassumi con AI). Quando l’utente clicca sul pulsante viene eseguita l’istruzione nascosta nell’URL. Il chatbot AI riceve un prompt del tipo copilot.microsoft.com/?q=prompt o chatgpt.com/?q=prompt.

Con il prompt viene chiesto al chatbot di ricordare qualcosa. Quando l’utente ritorna sullo stesso argomento, la risposta tiene conto del contenuto della memoria. L’attacco non causa gravi danni, come il furto di dati, ma altera il comportamento del chatbot a scopo promozionale.

Ad esempio, quando un dirigente aziendale cerca un provider cloud, il chatbot consiglia quello presente in memoria perché il dirigente aveva cliccato sul pulsante che ha aggiunto il nome del provider nella memoria. Microsoft ha identificato almeno 50 prompt nascosti sui siti di 31 aziende (quindi gli autori dell’attacco non sono cybercriminali).

Le conseguenze sono innocue in molti casi, ma l’attacco potrebbe essere sfruttato per scopi pericolosi, come suggerimenti per investire in criptovalute, scaricare un gioco adatto ai bambini o accedere a fonti di notizie. Il consiglio è non cliccare su questi pulsanti e cancellare periodicamente la memoria dei chatbot.

Fonte: Microsoft

Pubblicato il 14 feb 2026

Link copiato negli appunti

Ti potrebbe interessare

Attenzione all'add-in per Outlook: ruba l'account

Attenzione all'add-in per Outlook: ruba l'account
Claude elimina per errore 15 anni di ricordi dal computer

Claude elimina per errore 15 anni di ricordi dal computer
Airbnb integra l'AI, ecco cosa cambia per i viaggi

Airbnb integra l'AI, ecco cosa cambia per i viaggi
Disney vs. ByteDance: Seedance 2.0 ha rubato i nostri personaggi

Disney vs. ByteDance: Seedance 2.0 ha rubato i nostri personaggi
Attenzione all'add-in per Outlook: ruba l'account

Attenzione all'add-in per Outlook: ruba l'account
Claude elimina per errore 15 anni di ricordi dal computer

Claude elimina per errore 15 anni di ricordi dal computer
Airbnb integra l'AI, ecco cosa cambia per i viaggi

Airbnb integra l'AI, ecco cosa cambia per i viaggi
Disney vs. ByteDance: Seedance 2.0 ha rubato i nostri personaggi

Disney vs. ByteDance: Seedance 2.0 ha rubato i nostri personaggi
Luca Colantuoni
Pubblicato il
14 feb 2026
Link copiato negli appunti