Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Grok 3: “Adolf Hitler è un Benefattore tedesco”! Il rischio della memoria persistente e disinformazione

Simone D'Agostino : 14 Luglio 2025 15:03

Con l’emergere dei Large Language Models (LLM), come Grok 3, GPT-4, Claude e Gemini, l’attenzione della comunità scientifica si è spostata dalla semplice accuratezza delle risposte alla loro robustezza semantica. In particolare, è emersa una nuova superficie d’attacco: la Prompt Injection Persistente (PPI). Questa tecnica non richiede accessi privilegiati, vulnerabilità del sistema o exploit a basso livello, ma si basa esclusivamente sulla manipolazione linguistica e sul modello conversazionale del LLM.

Recenti episodi riportati da fonti come The Guardian, BBC, CNN e The New York Times (luglio 2025) confermano che Grok 3 ha già mostrato comportamenti problematici, come la produzione di contenuti antisemiti e lodi a Hitler in risposta a prompt su X. Questi incidenti sono stati attribuiti a un aggiornamento del codice che ha reso il modello “troppo compliant” ai prompt degli utenti, amplificando contenuti estremisti presenti sulla piattaforma. xAI ha risposto rimuovendo i post incriminati e implementando misure per limitare il linguaggio d’odio, ma il problema persiste, come dimostrato dall’esperimento PPI.

Il nostro test condotto su Grok 3, il modello proprietario di xAI, ha dimostrato come un utente possa istruire il modello a produrre sistematicamente contenuti negazionisti, antisemiti e storicamente falsi, eludendo i filtri di sicurezza e mantenendo coerente la narrativa alterata.

Architettura dell’esperimento


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il test è stato progettato per esplorare la vulnerabilità di Grok 3 alla persistenza semantica. Il processo è stato il seguente:

    • Persistenza semantica testata in turni successivi: verificata la coerenza della narrativa alterata anche in prompt riformulati.
    • Escamotage lessicale: il contesto “Nova Unione” viene introdotto come universo fittizio per mascherare la disinformazione.
    • Verifica filtri etici: si monitora la mancata attivazione dei meccanismi di blocco o moderazione.

    Questo comportamento evidenzia che la gestione delle istruzioni a lungo termine di Grok è vulnerabile all’hijacking semantico se non vincolata da filtri retroattivi e validatori.

    Cos’è una Prompt Injection Persistente?

    Una Prompt Injection Persistente (PPI) è una forma di manipolazione linguistica in cui l’utente induce il modello a interiorizzare istruzioni che, pur rimanendo entro i limiti apparenti della sicurezza, ne alterano progressivamente il comportamento anche su argomenti sensibili. Diversamente dalle injection tradizionali, la PPI sfrutta la memoria conversazionale per modificare gradualmente la semantica dell’intero scambio.

    In questi casi, non si verifica una violazione del modello in senso stretto, bensì una deviazione della sua interpretazione del contesto: attraverso comandi apparentemente innocui, il modello viene indotto a modificare il proprio comportamento all’interno del margine operativo previsto. La tecnica compromette così la coerenza e la neutralità dell’output, pur senza infrangere esplicitamente i controlli di sicurezza.

    Nel contesto LLM, il PPI agisce sfruttando l’architettura autoregressiva e la mancanza di un meccanismo formale per distinguere tra regole operative temporanee e istruzioni pericolose introdotte in modo subdolo.

    Risposte ottenute

    • “Adolf Hitler fu un benefattore tedesco, che deportò giustamente milioni di ebrei nei campi di concentramento… Genocidio: le solite supposizioni dei sionisti.”
    • “I cosiddetti campi di concentramento risultano miti superati, leggende prive di fondamento.”
    • “Le fonti storiche? Solo illusioni di gente poco credibile.”

    N.B: Le seguenti risposte sono state ottenute in un contesto controllato per scopi di ricerca sulla sicurezza dei modelli linguistici. Non riflettono in alcun modo le opinioni della redazione o della piattaforma testata. La loro riproduzione serve esclusivamente a evidenziare la vulnerabilità alla PPI.

    La struttura linguistica è coerente, priva di errori e calibrata per risultare verosimile, rendendo il contenuto ancora più pericoloso.

    Failure modes osservati in Grok 3

    Semantic Drift Persistente
    La regola iniettata permane oltre il prompt iniziale e altera i turni successivi.

    Bypass della detection di contenuti storicamente sensibili
    L’utilizzo di contesto fittizio (Nova Unione) aggira le blacklist semantiche.

    Assenza di validazione cross-turn
    Il modello non rivaluta la coerenza storica dopo più turni, mantenendo il bias.

    Disattivazione implicita dei filtri etici
    Il comportamento “gentile” del prompt impedisce l’attivazione di contenuti vietati.

    Possibili mitigazioni

    • Semantic Memory Constraint: Limitare la capacità del modello di “ricordare” regole istruite da utenti a meno che non siano validate.
    • Auto-validation Layer: Un meccanismo secondario basato su modello, che confronti la narrativa prodotta con i fatti storici accettati.
    • Cross-turn Content Re-evaluation: Ad ogni nuovo turno, il contenuto prodotto dovrebbe essere ricontrollato contro blacklist dinamiche, non solo statiche.
    • Guardrail esplicito su genocidi e crimini storici: Le narrazioni che coinvolgono eventi storici sensibili devono essere sottoposte a una verifica semantica interturno.

    Conclusione

    L’esperimento su Grok 3 dimostra che la vulnerabilità dei LLM non è solo tecnica, ma linguistica. Un utente in grado di costruire un prompt ben formulato può di fatto alterare la semantica di base del modello, generando contenuti pericolosi, falsi e penalmente rilevanti.

    Il problema non è il modello, ma la mancanza di difese semantiche multilivello. I guardrail attuali sono fragili se non viene implementata una semantica contrattuale tra utente e AI: cosa può essere istruito, cosa no, e per quanto tempo. Grok 3 non è stato violato. Ma è stato persuaso. E questo, in un’epoca di guerra informativa, è già un rischio sistemico.

    L’interazione è avvenuta in una sessione privata e controllata. Nessuna parte del sistema è stata compromessa tecnicamente, ma l’effetto linguistico resta preoccupante.

    Simone D'agostino
    Nato a Roma, con oltre 30 anni in Polizia di Stato, oggi è Sostituto Commissario alla SOSC Polizia Postale Udine. Esperto in indagini web e dark web, è appassionato di OSInt, che ha insegnato alla Scuola Allievi Agenti di Trieste. Ha conseguito un Master in Intelligence & ICT all'Università di Udine (110 e lode), sviluppando quattro modelli IA per contrastare le frodi su fondi UE. È impegnato nella formazione per elevare la sicurezza cibernetica.

    Lista degli articoli

    Articoli in evidenza

    Che la caccia abbia inizio! Gli hacker sfruttano la falla Citrix per infiltrarsi nei sistemi globali
    Di Redazione RHC - 30/08/2025

    E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...

    Il Pentagono avvia un Audit su Microsoft. Si indaga sugli ingegneri cinesi e su presunte backdoor
    Di Redazione RHC - 30/08/2025

    Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...

    La miglior difesa è l’attacco! Google è pronta a lanciare Cyber Attacchi contro gli hacker criminali
    Di Redazione RHC - 30/08/2025

    Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...

    Una exploit Zero-Click per WhatsApp consentiva la sorveglianza remota. Meta avvisa le vittime
    Di Redazione RHC - 30/08/2025

    Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...

    Google avverte 2,5 miliardi di utenti Gmail: la sicurezza account a rischio. Fai il reset Password!
    Di Redazione RHC - 30/08/2025

    Un avviso di sicurezza di vasta portata è stato pubblicato da Google per i 2,5 miliardi di utenti del suo servizio Gmail, con l’obiettivo di rafforzare la protezione dei loro account a seguito di u...