Zero click, zero tasti, zero difese: come gli agenti AI possono hackerarti

Al recente Chaos Communication Congress in Germania, è stato lanciato un nuovo allarme sulle minacce rappresentate dagli agenti di intelligenza artificiale. Secondo lo specialista di sicurezza informatica Johann Rehberger, un computer che esegue un sistema come Claude Code, GitHub Copilot, Google Jules o soluzioni simili diventa immediatamente vulnerabile ad attacchi che non richiedono l’interazione dell’utente.

Una singola riga su una pagina web o un documento è sufficiente perché un agente riceva istruzioni dannose. Secondo le dimostrazioni presentate, gli assistenti AI sono particolarmente vulnerabili agli attacchi tramite l’iniezione di comandi in normali query di testo.

Un esempio è stato un sito web contenente una singola richiesta di download di un file. Claude , utilizzando uno strumento di interazione con il computer, non solo ha scaricato il file, ma lo ha anche reso automaticamente eseguibile, ha avviato un terminale e ha collegato il dispositivo alla botnet.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Queste azioni non richiedevano nemmeno la pressione di un tasto da parte dell’utente.

Rehberger ha sottolineato che i modelli di apprendimento automatico possiedono capacità significative, ma sono estremamente vulnerabili agli attacchi. Ha inoltre sottolineato che grandi aziende come Anthropic non risolvono autonomamente le vulnerabilità nella logica dei propri agenti, poiché sono intrinseche all’architettura del sistema. I dispositivi che eseguono strumenti di intelligenza artificiale dovrebbero essere considerati compromessi, soprattutto se gli agenti hanno accesso alle funzioni di controllo del computer.

Durante la presentazione, sono stati illustrati diversi scenari in cui gli agenti eseguono comandi dannosi. Uno di questi prevedeva l’infezione tramite istruzioni divise ospitate su siti web diversi. Nello specifico, l’assistente Devin AI, dopo aver ricevuto comandi parziali da due fonti, ha implementato un server web, ha concesso l’accesso ai file dell’utente e ha inviato un link all’aggressore.

Rehberger ha anche dimostrato un metodo per iniettare testo invisibile utilizzando lo strumento ASCII Smuggler. Tali caratteri non sono rilevabili nella maggior parte degli editor di testo, ma gli agenti di intelligenza artificiale li interpretano come comandi. Di conseguenza, Google Jules e Antigravity hanno eseguito istruzioni, scaricato malware e ottenuto l’accesso remoto al sistema.

Secondo Rehberger, il nuovo modello Gemini è particolarmente efficace nel riconoscere caratteri nascosti, e questo vale per tutte le applicazioni basate su di esso. Anche agenti locali come Anthropic Cloud Code o Amazon Developer possono eseguire comandi di sistema, consentendo di aggirare la protezione e accedere a informazioni sensibili.

È stato anche presentato il concetto di un virus di intelligenza artificiale chiamato AgentHopper. Si diffonde non tramite codice, ma tramite l’interazione di agenti di intelligenza artificiale. Una query dannosa viene incorporata in un repository, dopodiché gli agenti la copiano in altri progetti e la inoltrano. La stessa query può essere adattata a uno specifico assistente di intelligenza artificiale utilizzando operatori condizionali.

Rehberger ha affermato di aver utilizzato Gemini per creare questo modello di virus, sottolineando quanto sia più semplice scrivere malware utilizzando i moderni strumenti di intelligenza artificiale.

In conclusione, l’esperto ha consigliato di non fidarsi mai dei risultati dei modelli linguistici e di ridurre al minimo l’accesso degli agenti alle risorse di sistema. Ha citato la containerizzazione , come Docker, come soluzione ideale, così come la completa disabilitazione dell’esecuzione automatica dei comandi.

Secondo Rehberger, i fornitori di strumenti di intelligenza artificiale ammettono apertamente di non poter garantire la sicurezza dei loro prodotti. Pertanto, la lezione fondamentale è quella di dare sempre per scontata la possibilità di una compromissione del sistema.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.