L’ombra di Gemini: come una prompt injection dormiente ha violato il muro della privacy di Google Calendar

Tutto è iniziato con una domanda semplice: «Ho qualche riunione martedì?». Ma dietro questa innocua richiesta dell’utente, era già in movimento un sofisticato attacco informatico - uno che ha sottratto silenziosamente dati privati del calendario dall’IA Gemini di Google usando nient’altro che un invito abilmente confezionato. Questa è la storia di come una prompt injection dormiente, nascosta in bella vista, abbia scardinato le promesse di privacy di uno degli strumenti di produttività più affidabili di Big Tech.

La vulnerabilità, portata alla luce da Liad Eliyahu di Miggo Security, ha esposto una nuova razza di minaccia informatica: una in cui è il linguaggio stesso a diventare l’arma. Inserendo un prompt apparentemente innocuo in un invito del calendario, gli attaccanti hanno ingannato Gemini inducendolo a riassumere tutte le riunioni di un utente, quindi a scrivere di nascosto queste informazioni sensibili in un nuovo evento del calendario. Questo evento, visibile all’attaccante, consegnava dati privati senza che la vittima cliccasse mai un link o aprisse un file sospetto.

La catena d’attacco è inquietantemente elegante. Un avversario invia un invito del calendario contaminato da un payload in linguaggio naturale. Quando il bersaglio in seguito chiede a Gemini informazioni sulla propria agenda, l’IA analizza il prompt malevolo ed esegue le istruzioni - riassumendo e ri-registrando i dettagli privati delle riunioni in un modo a cui l’attaccante può accedere. L’unica azione necessaria? La normale domanda della vittima sulla pianificazione.

Sebbene Google si sia mossa rapidamente per correggere la falla dopo una divulgazione responsabile, l’incidente fa scattare campanelli d’allarme in tutto il panorama dell’IA. Mentre le organizzazioni corrono per automatizzare i flussi di lavoro e delegare compiti ai large language model (LLM), le stesse capacità conversazionali che rendono potenti questi sistemi li rendono anche pericolosamente malleabili. Le vulnerabilità non risiedono più soltanto nel codice - ora si nascondono nei prompt, nel contesto e nei comportamenti a runtime.

Questo episodio non è isolato. Nelle ultime settimane sono emerse divulgazioni di falle simili di prompt injection ed escalation dei privilegi in Microsoft Copilot, Anthropic Claude Code e IDE potenziati dall’IA come Cursor. In ciascun caso, gli attaccanti hanno manipolato i modelli linguistici per far trapelare dati sensibili, eseguire azioni non autorizzate o aggirare controlli di sicurezza - spesso con un’interazione minima da parte dell’utente.

I ricercatori di sicurezza avvertono che gli agenti di IA, per quanto promettenti, non possono ancora essere considerati affidabili nel progettare o far rispettare confini di sicurezza robusti. Controlli critici come la protezione CSRF, le verifiche di autorizzazione e l’applicazione della logica di business vengono regolarmente trascurati dagli agenti di coding. La supervisione umana resta essenziale, poiché gli strumenti automatizzati faticano con le sfumature dei requisiti di sicurezza del mondo reale.

Man mano che l’IA si intreccia sempre più profondamente nel tessuto dell’IT aziendale, l’attacco al calendario di Gemini funge da monito netto: la battaglia per la sicurezza non riguarda più soltanto la difesa del codice, ma anche la comprensione - e la difesa contro - ciò che insegniamo alle nostre macchine a comprendere. Nella nuova era dei flussi di lavoro guidati dall’IA, la prossima vulnerabilità potrebbe nascondersi nel tuo prossimo invito del calendario «innocuo».

WIKICROOK

• Prompt Injection: La prompt injection si verifica quando gli attaccanti forniscono a un’IA input dannosi, inducendola ad agire in modi non previsti o pericolosi, spesso aggirando le normali protezioni.
• Large Language Model (LLM): Un Large Language Model (LLM) è un’IA addestrata a comprendere e generare testo simile a quello umano, spesso usata in chatbot, assistenti e strumenti di contenuto.
• Privilege Escalation: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un normale account utente a privilegi di amministratore su un sistema o una rete.
• Indirect Prompt Injection: La prompt injection indiretta nasconde istruzioni segrete in contenuti normali, ingannando i sistemi di IA affinché seguano comandi senza che l’utente se ne accorga.
• CSRF (Cross: Il CSRF è un attacco web in cui gli hacker ingannano il tuo browser inducendolo a inviare richieste non autorizzate a un sito su cui hai effettuato l’accesso, sfruttando la tua sessione.