Qualche giorno fa The Pirate Pinperepette (AKA Andrea Amani) pubblicò una splendida disamina su come il “testo nascosto” all’interno dei siti sia in grado di influenzare i “giudizi” dell’AI, ovvero uno dei tanti usi di “prompt injection” dall’esterno (diverso dal “jailbreaking” volontario condotto in alcuni casi dall’utente per estorcere all’AI risposte che normalmente non fornirebbe, per esempio su argomento “delicati”). Taggo Andrea perché spero legga questa notizia (se non l’ha già fatto, visto che è sempre “sul pezzo”) e magari scriva un altro dei suoi meravigliosi articoli sull’argomento in questione.
Ed è proprio a proposito di prompt injection che vi riporto la notizia odierna, che dovrebbe farvi riflettere sul genere di informazioni fornite al vostro chatbot “di fiducia” (non pun intended) e di come possa essere utile, invece, sostituire eventuali dati sensibili con dati fittizi o, per chi ha la possibilità, usare l’AI in locale quando ciò è inevitabile.
Il team di Oasis Security ha scoperto una catena di exploit chiamata “Claudy Day” che combina tre vulnerabilità in Claude.ai per sottrarre silenziosamente la cronologia delle conversazioni degli utenti. L’attacco sfrutta una prompt injection invisibile via URL, un abuso della libreria Files API di Anthropic e un open redirect su claude.com, creando una pipeline completa senza necessità di integrazioni esterne.
La distribuzione avviene tramite Google Ads, rendendo l’attacco altamente scalabile e indistinguibile da annunci legittimi.
Le implicazioni sono critiche, soprattutto in ambito enterprise, dove l’accesso a dati e strumenti può amplificare l’impatto. Anthropic ha già corretto una vulnerabilità, mentre le altre sono in fase di risoluzione, evidenziando la necessità urgente di nuove strategie di sicurezza per agenti AI.
Qui trovate l’approfondimento: