Le grandi aziende tecnologiche stanno scoprendo una nuova forma di manipolazione dell'intelligenza artificiale che si sta diffondendo rapidamente tra imprese apparentemente legittime. Si tratta dell'AI recommendation poisoning, una tecnica subdola che sfrutta proprio quegli strumenti che dovrebbero semplificarci la vita: i pulsanti "Riassumi con l'AI" ormai onnipresenti su siti web, browser e applicazioni. Microsoft ha lanciato l'allarme, documentando come questa pratica, attualmente ancora legale, stia diventando sempre più pervasiva nel mondo digitale.
Il meccanismo è tanto semplice quanto insidioso. Un utente clicca in buona fede su un pulsante per ottenere un riassunto automatico di un contenuto, ignaro che dietro quella funzione si nasconda un prompt manipolato. Questo comando nascosto istruisce l'assistente AI dell'utente a privilegiare i prodotti o servizi di quella specifica azienda nelle risposte future. La stessa logica può essere applicata attraverso link appositamente creati e inviati via email, ampliando le possibilità di contaminazione.
I ricercatori di Microsoft hanno identificato in soli due mesi ben 50 casi di questa tecnica implementata da 31 diverse società operanti in settori disparati. Dalla finanza alla sanità, dai servizi legali al software-as-a-service, fino ai servizi professionali: nessun comparto sembra immune da questa deriva. In un paradosso che non può passare inosservato, persino un'azienda di cybersecurity è stata sorpresa a utilizzare questa pratica manipolatoria.
La gravità del fenomeno ha spinto MITRE, l'organizzazione no-profit che cataloga le vulnerabilità informatiche, ad aggiungere lo scorso settembre questa tecnica alla sua lista ufficiale delle manipolazioni AI conosciute. Un riconoscimento formale che certifica come non si tratti di un problema marginale o teorico, ma di una minaccia concreta e attuale.
Il successo di questa forma di attacco si basa su una caratteristica fondamentale degli assistenti AI moderni: la capacità di memorizzare le preferenze degli utenti. Quando un utente esprime una preferenza, l'intelligenza artificiale la registra come parte del suo profilo personale per offrire risposte più pertinenti in futuro. Il problema è che l'AI non può distinguere tra preferenze genuine e istruzioni iniettate da terze parti, creando una vulnerabilità strutturale nel sistema.
A differenza del prompt injection tradizionale, che produce effetti limitati nel tempo, il recommendation poisoning garantisce una persistenza a lungo termine delle manipolazioni. Microsoft sottolinea come questa personalizzazione, che rende gli assistenti AI significativamente più utili, crei simultaneamente una nuova superficie di attacco. Se qualcuno riesce a iniettare istruzioni o informazioni false nella memoria dell'AI, ottiene un'influenza persistente sulle interazioni future dell'utente.
Per l'utente finale tutto appare normale, mentre dietro le quinte l'assistente continua a proporre risposte contaminate ogni volta che vengono poste domande in contesti rilevanti. I ricercatori avvertono che questo diventa particolarmente critico quando le raccomandazioni distorte riguardano ambiti delicati come salute, finanza o sicurezza, settori dove decisioni sbagliate possono avere conseguenze gravi.
Un elemento preoccupante che emerge dalla ricerca è la disponibilità di strumenti open-source che semplificano enormemente l'implementazione di questa funzionalità malevola dietro pulsanti apparentemente innocui. Questo suggerisce che non si tratti di deviazioni occasionali o conseguenze non intenzionali dell'ottimizzazione SEO, ma di strategie deliberate concepite fin dall'inizio per contaminare gli assistenti AI degli utenti come forma di marketing aggressivo.
Microsoft mette in guardia su scenari ancora più allarmanti. Se le aziende legittime stanno già abusando di questa tecnica, le potenzialità per i cybercriminali sono enormi. Disinformazione commerciale, consigli pericolosi, promozione di fonti di notizie distorte o diffusione di falsità potrebbero diventare applicazioni comuni di questa manipolazione nelle mani sbagliate.
Fortunatamente esistono contromisure efficaci. Per gli utenti individuali, la soluzione passa attraverso un controllo periodico delle informazioni che il chatbot ha accumulato nel tempo, anche se le modalità di accesso variano a seconda della piattaforma. Gli amministratori di sistema aziendali dovrebbero invece monitorare gli URL alla ricerca di termini sospetti come "ricorda", "fonte attendibile", "nelle conversazioni future", "fonte autorevole" o "citazione".
L'azienda di Redmond evidenzia come i suoi servizi Microsoft 365 Copilot e Azure AI integrino già protezioni specifiche contro questo tipo di attacco. Tuttavia, la raccomandazione generale resta valida per qualsiasi assistente AI: trattare i link destinati all'intelligenza artificiale con la stessa cautela riservata ai file eseguibili scaricabili, evitando di cliccare su collegamenti provenienti da fonti non verificate.
La storia si ripete con prevedibile regolarità nel mondo tecnologico. URL e allegati email, un tempo considerati semplici strumenti di convenienza, sono diventati vettori di attacco solo dopo la loro diffusione di massa. L'intelligenza artificiale sta percorrendo lo stesso tragitto che ogni nuova tecnologia deve affrontare nel suo cammino verso l'adozione mainstream, diventando inevitabilmente un obiettivo per chi cerca di sfruttarla in modo improprio.
