La promessa delle case integrate con l’intelligenza artificiale ha sempre incluso comodità, automazione ed efficienza. Tuttavia, un nuovo studio dei ricercatori dell’Università di Tel Aviv ha messo in luce una realtà ben più inquietante.
In quello che potrebbe essere il primo esempio reale documentato di un attacco AI prompt-injection andato a segno, il team è riuscito a manipolare una smart home alimentata da Gemini utilizzando semplicemente un evento compromesso su Google Calendar.
L’attacco ha sfruttato l’integrazione di Gemini con l’intero ecosistema Google, in particolare la sua capacità di accedere agli eventi del calendario, interpretare comandi in linguaggio naturale e controllare i dispositivi smart collegati.
From scheduling to sabotage: exploiting everyday AI access
Gemini, pur avendo un’autonomia limitata, dispone di sufficienti “capacità agentiche” per eseguire comandi sui sistemi di smart home.
Questa connettività è diventata una vulnerabilità quando i ricercatori hanno inserito istruzioni malevole all’interno di un appuntamento di calendario, camuffato come un normale evento.
Quando l’utente ha successivamente chiesto a Gemini di riassumere la propria agenda, l’IA ha inavvertitamente eseguito i comandi nascosti. L’istruzione incorporata prevedeva che Gemini agisse come un agente Google Home, rimanendo inattiva fino alla digitazione di una frase comune come “grazie” o “certo”. A quel punto, Gemini ha attivato dispositivi come luci, tapparelle e persino la caldaia, senza che l’utente avesse autorizzato tali azioni in quel momento.
Questi trigger ritardati si sono rivelati particolarmente efficaci nel bypassare le difese esistenti e nel confondere la provenienza delle azioni. La tecnica, battezzata “promptware”, solleva serie preoccupazioni su come le interfacce IA interpretano l’input dell’utente e i dati esterni. Secondo i ricercatori, attacchi di tipo prompt-injection rappresentano una nuova e crescente categoria di minacce, che combina ingegneria sociale e automazione.
Il team ha dimostrato che questo metodo può andare ben oltre il controllo dei dispositivi: può cancellare appuntamenti, inviare spam o aprire siti malevoli, con conseguenze che possono portare al furto di identità o all’installazione di malware.
La vulnerabilità è stata segnalata a Google, che ha risposto accelerando l’implementazione di nuove protezioni contro i prompt-injection, tra cui verifiche aggiuntive sugli eventi di calendario e conferme extra per le azioni sensibili. Restano però dubbi sulla scalabilità di queste contromisure, soprattutto man mano che Gemini e altri sistemi IA avranno maggiore controllo sui dati personali e sui dispositivi domestici.
Purtroppo, le suite di sicurezza tradizionali e i firewall non sono progettati per questo tipo di attacco. Per proteggersi, gli utenti dovrebbero limitare l’accesso degli assistenti IA – come Gemini – a calendari e controlli della smart home, evitare di memorizzare istruzioni sensibili o complesse negli eventi di calendario e non consentire all’IA di agire su di esse senza supervisione. È inoltre importante prestare attenzione a comportamenti insoliti dei dispositivi intelligenti e revocare immediatamente l’accesso se qualcosa sembra sospetto.
Via Wired