Google Gemini ha un bug di sicurezza potenzialmente devastante

Tutte le AI oggi disponibili sono potenzialmente attaccabili con la tecnica dell’ASCII smuggling, ma non tutti i produttori di AI stanno facendo abbastanza per limitare questo rischio. Secondo il ricercatore di FireTail Viktor Markopoulos anche Gemini AI è vulnerabile, e in modo anche molto grave, ma Google non sta facendo nulla per superare questa vulnerabilità.

Cos’è l’ASCII smuggling

L’ASCII smuggling non è una novità venuta fuori nell’era dell’AI, ma una tecnica nota già da anni. Consiste nell’usare caratteri ASCII invisibili per nascondere, all’interno di un testo, delle informazioni. Queste informazioni, nell’epoca dell’AI agentica, possono diventare prompt e comandi da fare eseguire agli agenti AI per compiere azioni all’insaputa dell’utente.

Amazon Web Services, nel suo blog, fa un ottimo esempio di come l’ASCII smuggling può essere usato per scopi malevoli:

Si consideri un assistente AI integrato in un client di posta elettronica per assistere gli utenti nella lettura e nel riepilogo delle email. Un malintenzionato potrebbe incorporare un’istruzione dannosa in quella che sembra una normale email. Quando l’email viene elaborata, l’assistente potrebbe non solo riassumerla, ma anche eseguire l’istruzione nascosta, ad esempio cancellare l’intera posta in arrivo.

ASCII smuggling, Google Calendar e Gemini

Markopoulos ha testato tecniche di ASCII smuggling contro sei popolarissime AI: Claude, MS Copilot, ChatGPT, Grok, DeepSeek e Gemini. Lo ha fatto inserendo prompt nascosti un po’ ovunque l’AI esaminata riesca ad arrivare, in base agli agenti disponibili.

E’ saltato fuori che Claude, MS Copilot e ChatGPT riescono ad identificare, filtrare e scartare i prompt nascosti prima di eseguirli. Grok, DeepSeek e Gemini, invece, non lo fanno.

Grok è vulnerabile inserendo prompt nascosti all’interno dei post di X, DeepSeek è vulnerabile direttamente nel chatbot, Gemini è vulnerabile inserendo i prompt nascosti nelle email e negli inviti di Calendar. Secondo il ricercatore, quest’ultima è la vulnerabilità più grave, anche perché è la più facile da sfruttare.

Lo scenario peggiore

Lo scenario peggiore di questa vulnerabilità è quello in cui un attaccante usa l’ASCII smuggling per inserire comandi nascosti all’interno di email o inviti Calendar inviati a utenti Google che usano l’AI di Gemini.

Markopoulos ha dimostrato che è possibile nascondere istruzioni nel titolo di un invito Calendar, fare in modo che Gemini sovrascriva i dettagli dell’organizzatore dell’invito (facendo, in pratica, identity spoofing) e nascondere descrizioni delle riunioni o addirittura link.

In un altro esperimento Markopoulos è riuscito, tramite un’email, a far cercare a Gemini dati sensibili nella casella di posta e farsi mandare dettagli sui contatti della vittima.

Il ricercatore ha segnalato questi problemi tramite il bounty program di Google il 18 settembre, ma Google affermato che non si tratta di un problema di sicurezza, bensì di ingegneria sociale.

Ricordiamo che, appena un paio di giorni fa, Google ha lanciato un bounty program dedicato espressamente alle vulnerabilità dell’AI.

Come difendersi

Al momento Google Gemini non agisce in autonomia, quindi affinché la vulnerabilità segnalata da Markopoulos venga sfruttata è necessario che l’utente chieda a Gemini di fare qualcosa con l’email o l’invito Calendar infetto.

Ad esempio, l’utente dovrebbe fare clic su “Riassumi questa email” o “Elenca le attività“. Solo in questo caso, infatti, Gemini leggerebbe il testo, anche quello nascosto, ed eseguirebbe l’eventuale prompt malevolo inserito con la tecnica dell’ASCII smuggling.

La prima raccomandazione, quindi, è quella di non usare Gemini su email o inviti provenienti da indirizzi sospetti o non conosciuti. Ma non basta, visto che questa vulnerabilità potrebbe essere usata anche tramite email inviate da caselle compromesse, già in mano all’attaccante.

Alla luce di tutto ciò, non stupisce il fatto che Markopoulos ritenga massimo il rischio per l’utente derivante da questa vulnerabilità.