Una minaccia che sfrutta la fiducia negli strumenti automatici
I servizi che generano riassunti con l’intelligenza artificiale sono ormai diventati strumenti quotidiani che permettono di leggere documenti, email o pagine web senza dover scorrere tutto il testo. Questo, però, sta aprendo nuove falle di sicurezza. Una ricerca, firmata dalla società di cybersicurezza CloudSEK, ha dimostrato che gli attacchi “ClickFix” possono manipolare questi sistemi di sintesi, trasformandoli in guide per eseguire comandi dannosi. La notizia è già su testate specializzate, come iTnews e Dark Reading e portali di settore tra cui GBHackers e CyberSecurity News, che segnalano un rischio che potrebbe riguardare milioni di utenti.
Come funziona l’inganno nascosto nel codice
Alla base di questo attacco non c’è la vulnerabilità tecnica dei sistemi, ma una manipolazione del contenuto. I criminali informatici inseriscono testi nascosti all’interno di email o pagine web, utilizzando tecniche note di formattazione CSS: caratteri microscopici, testo bianco su sfondo bianco, elementi collocati fuori dall’area visibile. In questo modo l’utente non vede nulla di sospetto, ma l’intelligenza artificiale legge tutto, inclusi i comandi nascosti. Quando l’utente chiede un riassunto, riceve quindi istruzioni dettagliate che sembrano " autentiche", ma che in realtà inducono a scaricare file dannosi o a modificare impostazioni critiche del sistema operativo.
La “prompt overdose” e la manipolazione dei riassunti
Un passaggio chiave individuato dai ricercatori è quello che viene definito “prompt overdose”. Consiste nel ripetere decine di volte la stessa istruzione malevola all’interno delle parti nascoste della pagina. L’intelligenza artificiale, bombardata dal comando ripetuto, finisce per dargli più importanza rispetto al contenuto visibile. Il risultato è che il riassunto generato ignora spesso le informazioni autentiche e restituisce solo quelle dannose, presentandole con un tono autorevole. L’utente, fidandosi della sintesi, rischia di eseguire azioni compromettenti come aprire la finestra "Esegui" di Windows e lanciare comandi PowerShell, con la possibilità di installare ransomware.
I test condotti da CloudSEK
Nel proof-of-concept sviluppato da CloudSEK, i ricercatori hanno inserito comandi PowerShell codificati in Base64 all’interno di elementi HTML invisibili. Diversi summariser, sia servizi online che estensioni per browser, hanno elaborato il contenuto nascosto e lo hanno incluso nel riassunto finale. In alcuni casi i riassunti hanno addirittura escluso completamente le parti legittime della pagina, lasciando emergere solo i comandi malevoli. Non sempre l’esperimento ha avuto successo: in alcune occasioni il riassunto ha mescolato il contenuto nascosto con quello reale. Tuttavia, i ricercatori sottolineano che l’attacco si è rivelato abbastanza efficace da rappresentare un rischio concreto.
Il legame con le tecniche già conosciute
Gli attacchi ClickFix non sono un’invenzione recente. Già in passato Microsoft Threat Intelligence aveva segnalato campagne che usavano messaggi falsi o CAPTCHA manipolati per convincere gli utenti a eseguire istruzioni apparentemente necessarie. La differenza, questa volta, sta nell’intermediazione dell’intelligenza artificiale: lo strumento di sintesi, percepito come affidabile e imparziale, diventa il veicolo che amplifica il messaggio malevolo. In questo modo l’inganno diventa più credibile, perché è la stessa AI a proporre la soluzione sotto forma di un riassunto.
Le possibili contromisure
CloudSEK suggerisce di intervenire soprattutto nella fase di pre-processing, cioè prima che i contenuti vengano elaborati dai sistemi di sintesi. Filtri più rigidi potrebbero riconoscere e bloccare testi sospetti nascosti nel codice HTML. Allo stesso tempo, gli esperti avvertono che il problema non può essere risolto solo a livello tecnico e che serve una maggiore consapevolezza da parte di utenti e organizzazioni. L’abitudine a fidarsi ciecamente dei riassunti AI potrebbe infatti diventare un’arma nelle mani dei criminali informatici. Per questo motivo, diverse testate come Dark Reading e CyberSecurity News sottolineano l’importanza di affrontare il tema non solo dal punto di vista tecnologico, ma anche, forse soprattutto, culturale.