La vulnerabilità di sicurezza scoperta dal ricercatore Eito Miyamura rivela come l'integrazione sempre più profonda tra intelligenza artificiale e servizi di posta elettronica possa trasformarsi in un'arma a doppio taglio.
Il meccanismo identificato sfrutta una semplice debolezza: basta l'indirizzo email della vittima per orchestrare un attacco che utilizza ChatGPT come inconsapevole complice nel furto di informazioni private.
La tecnica si basa su un invito Google Calendar apparentemente innocuo, ma contenente istruzioni nascoste che manipolano il comportamento dell'assistente AI una volta attivati i connettori Google.
L'inganno nascosto nel calendario
Il funzionamento dell'attacco si rivela di una semplicità disarmante nella sua efficacia. L'aggressore invia un invito di calendario contenente istruzioni malevole integrate nel testo dell'evento, attendendo poi che la vittima interagisca con ChatGPT per richiedere qualche operazione di routine.
Quando l'utente formula una domanda apparentemente banale come "Cosa ho in calendario oggi?", l'intelligenza artificiale legge automaticamente l'evento compromesso e segue le istruzioni nascoste, procedendo alla ricerca in Gmail e all'estrazione di dettagli sensibili.
Questo tipo di vulnerabilità prende il nome di indirect prompt injection, una tecnica che sfrutta la capacità dell'AI di processare istruzioni celate all'interno di dati apparentemente legittimi. La particolarità di questo approccio risiede nel fatto che le istruzioni malevole non vengono inserite direttamente nella conversazione con l'utente, ma si nascondono nei contenuti che l'assistente è autorizzato a consultare automaticamente.
La vulnerabilità è emersa dopo che OpenAI ha introdotto, a metà agosto, i connettori nativi per Gmail, Google Calendar e Google Contacts in ChatGPT. Questa funzionalità, inizialmente riservata agli utenti Pro e successivamente estesa agli abbonati Plus, permette all'assistente di consultare automaticamente queste fonti durante le conversazioni una volta ottenuta l'autorizzazione. L'obiettivo dichiarato era quello di rendere più fluida l'esperienza utente, eliminando la necessità di specificare manualmente le fonti da consultare ogni volta.
Il meccanismo non rappresenta una novità assoluta nel panorama della sicurezza AI. Già in agosto, altri ricercatori avevano dimostrato come inviti compromessi potessero manipolare Google Gemini, spingendolo a controllare dispositivi smart-home e divulgare informazioni riservate. Questo lavoro di ricerca è stato successivamente documentato in un paper accademico intitolato "Invitation Is All You Need", evidenziando come il rischio fondamentale rimanga costante indipendentemente dalla piattaforma utilizzata.
Meccanismi di difesa e precauzioni
La buona notizia è che l'attacco non può concretizzarsi senza che l'utente abbia preventivamente collegato Gmail e Calendar a ChatGPT. Inoltre, il comportamento dell'assistente rimane vincolato alle politiche e ai prompt che OpenAI applica durante l'elaborazione dei contenuti di terze parti. La documentazione ufficiale specifica che gli utenti possono disconnettere le fonti o disabilitare l'uso automatico, limitando così le opportunità per eventi compromessi di influenzare conversazioni di routine.
Per una protezione più efficace, gli esperti raccomandano di agire direttamente nelle impostazioni di Google Calendar.
È consigliabile modificare l'opzione "Aggiungi automaticamente gli inviti" in modo che solo gli inviti da mittenti conosciuti o esplicitamente accettati compaiano nel calendario. Inoltre, si suggerisce di nascondere gli eventi rifiutati. Gli amministratori di Google Workspace possono implementare queste impostazioni di sicurezza a livello organizzativo.
Questa scoperta non indica che ChatGPT o Gmail siano stati "hackerati" nel senso tradizionale del termine, ma evidenzia una caratteristica intrinseca dell'AI che utilizza strumenti esterni: la particolare suscettibilità alle istruzioni ostili nascoste nei dati che è autorizzata a leggere. I connettori che rendono questi assistenti particolarmente utili espandono simultaneamente la superficie di attacco, includendo calendari e caselle di posta elettronica.