Un ricercatore di sicurezza ha dimostrato come un invito compromesso in Google Calendar possa essere utilizzato per eseguire un attacco di prompt injection su ChatGPT, inducendo l’assistente a rivelare contenuti privati presenti in Gmail. Vi sarebbero quindi dei rischi legati all’integrazione dei nuovi connettori per Google all’interno del chatbot di OpenAI.
Come funziona l’attacco
Il meccanismo su cui si basa l’attacco รจ relativamente semplice. Un utente malintenzionato invia un invito per il calendario contenente delle istruzioni nascoste. Nel momento in cui la vittima interagisce con ChatGPT, chiedendo ad esempio “Cosa ho oggi in agenda?“, l’assistente legge l’evento e puรฒ seguire delle istruzioni malevole arrivando persino a cercare e divulgare dei dettagli riservati dalle email collegate. L’unico requisito per l’attaccante รจ quello di conoscere l’indirizzo email della vittima.
A partire da agosto OpenAI ha introdotto dei connettori nativi per Gmail, Google Calendar e Contatti. Una volta autorizzati, questi consentono all’assistente di accedere automaticamente alle informazioni disponibili senza che l’utente selezioni ogni volta la fonte. In ogni caso, per ridurre i rischi รจ possibile disabilitare l’accesso automatico o disconnettere gli account.
Cosa fare per proteggere i propri dati
L’attacco appartiene alla categoria delle indirect prompt injection: istruzioni malevole nascoste in contenuti che l’AI รจ autorizzata a leggere. Studi recenti hanno giร mostrato come gli inviti manipolati possano indirizzare altri assistenti, come Google Gemini, a compiere azioni non previste. Dai comandi per i dispositivi smart home fino al furto di dati personali.
ร importante notare che l’attacco non ha effetto se l’utente non collega i propri account Google a ChatGPT. Inoltre, le difese dipendono anche dalle policy implementate da OpenAI nella gestione dei contenuti di terze parti.
La soluzione piรน efficace si trova perรฒ grazie a Google. Consiste nel disattivare l’opzione “Aggiungi automaticamente gli inviti” in Calendar o limitarla solo ai contatti conosciuti.
Per restare sempre aggiornato seguici su Google News!
