OpenAI ha riconosciuto che gli attacchi di prompt injection rappresentano una vulnerabilità strutturale per tutti i browser basati sulla AI, compreso il proprio ChatGPT Atlas. In un recente post l’azienda ha dichiarato che questo tipo di manipolazione, simile alle tecniche di social engineering e phishing, sarà un rischio costante, anche con l’evoluzione delle contromisure difensive.
Il rischio delle prompt injection e la risposta di OpenAI
Le prompt injection consistono in istruzioni malevole nascoste in testi, pagine web o email capaci di indurre un agente AI a eseguire azioni non previste, come l’invio di messaggi o l’accesso ai dati sensibili. Dopo il lancio di Atlas, diversi ricercatori hanno mostrato come poche righe di testo inserite in un documento online potessero alterare il comportamento del browser.
OpenAI ha ammesso che l’agent mode di Atlas amplia la superficie di attacco, afferma però di aver introdotto un ciclo di risposta rapida e proattiva per individuare e correggere le vulnerabilità prima che vengano sfruttate. L’azienda ha inoltre sviluppato un attaccante automatizzato basato sul reinforcement learning, un modello AI in grado di simulare i comportamenti di un utente malintenzionato e testare le difese interne in ambienti controllati. Questo sistema consente di scoprire nuove strategie di attacco non rilevate dai test di red teaming.
Difese multilivello e limiti dei browser AI
OpenAI collabora con partner esterni per rafforzare Atlas e limita l’autonomia del browser nelle azioni sensibili. Richiede infatti la conferma dell’utente prima di inviare messaggi o effettuare pagamenti. Inoltre, invita gli utilizzatori a fornire istruzioni precise agli agenti AI e a evitare comandi generici come “gestisci la mia e-mail” che aumentano l’esposizione al rischio.
Per alcuni esperti di sicurezza il rischio rimane comunque elevato. I browser AI combinano infatti autonomia e accesso ai dati sensibili. Secondo la stessa OpenAI, finché l’autonomia degli agenti rimarrà così estesa la protezione totale dalle prompt injection resterà probabilmente un traguardo irraggiungibile.
Per restare sempre aggiornato seguici su Google News!
