Zero click, zero tasti, zero difese: come gli agenti AI possono hackerarti

Al recente Chaos Communication Congress in Germania, è stato lanciato un nuovo allarme sulle minacce rappresentate dagli agenti di intelligenza artificiale. Secondo lo specialista di sicurezza informatica Johann Rehberger, un computer che esegue un sistema come Claude Code, GitHub Copilot, Google Jules o soluzioni simili diventa immediatamente vulnerabile ad attacchi che non richiedono l’interazione dell’utente.

Una singola riga su una pagina web o un documento è sufficiente perché un agente riceva istruzioni dannose. Secondo le dimostrazioni presentate, gli assistenti AI sono particolarmente vulnerabili agli attacchi tramite l’iniezione di comandi in normali query di testo.

Un esempio è stato un sito web contenente una singola richiesta di download di un file. Claude , utilizzando uno strumento di interazione con il computer, non solo ha scaricato il file, ma lo ha anche reso automaticamente eseguibile, ha avviato un terminale e ha collegato il dispositivo alla botnet.

Queste azioni non richiedevano nemmeno la pressione di un tasto da parte dell’utente.

Rehberger ha sottolineato che i modelli di apprendimento automatico possiedono capacità significative, ma sono estremamente vulnerabili agli attacchi. Ha inoltre sottolineato che grandi aziende come Anthropic non risolvono autonomamente le vulnerabilità nella logica dei propri agenti, poiché sono intrinseche all’architettura del sistema. I dispositivi che eseguono strumenti di intelligenza artificiale dovrebbero essere considerati compromessi, soprattutto se gli agenti hanno accesso alle funzioni di controllo del computer.

Durante la presentazione, sono stati illustrati diversi scenari in cui gli agenti eseguono comandi dannosi. Uno di questi prevedeva l’infezione tramite istruzioni divise ospitate su siti web diversi. Nello specifico, l’assistente Devin AI, dopo aver ricevuto comandi parziali da due fonti, ha implementato un server web, ha concesso l’accesso ai file dell’utente e ha inviato un link all’aggressore.

Rehberger ha anche dimostrato un metodo per iniettare testo invisibile utilizzando lo strumento ASCII Smuggler. Tali caratteri non sono rilevabili nella maggior parte degli editor di testo, ma gli agenti di intelligenza artificiale li interpretano come comandi. Di conseguenza, Google Jules e Antigravity hanno eseguito istruzioni, scaricato malware e ottenuto l’accesso remoto al sistema.

Secondo Rehberger, il nuovo modello Gemini è particolarmente efficace nel riconoscere caratteri nascosti, e questo vale per tutte le applicazioni basate su di esso. Anche agenti locali come Anthropic Cloud Code o Amazon Developer possono eseguire comandi di sistema, consentendo di aggirare la protezione e accedere a informazioni sensibili.

È stato anche presentato il concetto di un virus di intelligenza artificiale chiamato AgentHopper. Si diffonde non tramite codice, ma tramite l’interazione di agenti di intelligenza artificiale. Una query dannosa viene incorporata in un repository, dopodiché gli agenti la copiano in altri progetti e la inoltrano. La stessa query può essere adattata a uno specifico assistente di intelligenza artificiale utilizzando operatori condizionali.

Rehberger ha affermato di aver utilizzato Gemini per creare questo modello di virus, sottolineando quanto sia più semplice scrivere malware utilizzando i moderni strumenti di intelligenza artificiale.

In conclusione, l’esperto ha consigliato di non fidarsi mai dei risultati dei modelli linguistici e di ridurre al minimo l’accesso degli agenti alle risorse di sistema. Ha citato la containerizzazione , come Docker, come soluzione ideale, così come la completa disabilitazione dell’esecuzione automatica dei comandi.

Secondo Rehberger, i fornitori di strumenti di intelligenza artificiale ammettono apertamente di non poter garantire la sicurezza dei loro prodotti. Pertanto, la lezione fondamentale è quella di dare sempre per scontata la possibilità di una compromissione del sistema.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore