L’intelligenza artificiale ha trasformato il modo in cui le aziende gestiscono le comunicazioni, analizzano i dati e automatizzano i processi. Ma con questa trasformazione è emersa una minaccia nuova e sottile: gli attacchi di prompt injection veicolati via email. Non si tratta del solito phishing. Questa è qualcosa di diverso e potenzialmente molto più insidioso.
Cos’è la prompt injection?
A differenza degli attacchi tradizionali che cercano di ingannare un utente umano (convincendolo a cliccare un link, aprire un allegato o divulgare credenziali), la prompt injection prende di mira direttamente i sistemi AI. Il principio è semplice quanto preoccupante: un attaccante nasconde istruzioni malevole all’interno di contenuti che un assistente AI elaborerà come parte del suo normale flusso di lavoro, un’email, un documento, una cronologia di chat.
L’AI, progettata per ragionare su grandi volumi di dati, non distingue tra istruzioni legittime e quelle iniettate dall’attaccante. Le esegue entrambe.
I numeri parlano chiaro
Secondo un’analisi di Darktrace, dal tardo 2025 a oggi si è registrato un aumento del 90% nei segnali associati a potenziali tentativi di prompt injection tra i clienti monitorati. Il trend è in crescita: gli attaccanti stanno attivamente sperimentando queste tecniche.
Due esempi reali: HashJack e ShadowLeak
HashJack
Scoperto nel novembre 2025, HashJack sfrutta gli assistenti AI per browser web. Gli attaccanti nascondono istruzioni malevole nel frammento URL di un sito legittimo (dopo il simbolo #). L’assistente AI viene così ingannato e può inserire link di phishing, dati di contatto falsi o indicazioni fuorvianti direttamente nell’output apparentemente affidabile generato dall’AI.
ShadowLeak
Identificato nel settembre 2025, ShadowLeak era una vulnerabilità in ChatGPT (poi corretta da OpenAI) che colpiva un agente AI connesso alla posta elettronica. Un’email contenente un prompt nascosto era sufficiente per indurre l’agente a esfiltrare informazioni sensibili verso l’attaccante, senza alcuna azione da parte dell’utente.
Perché è così pericoloso?
Gli assistenti AI aziendali spesso hanno accesso completo a email, documenti e piattaforme interne. Questo significa che un attaccante non deve necessariamente compromettere credenziali o muoversi lateralmente nella rete: se riesce a manipolare l’AI, ottiene accesso all’informazione senza il “lavoro sporco” tradizionale.
I rischi principali sono due:
- Esfiltrazione di dati Istruzioni malevole incorporate in un’email ordinaria possono portare l’AI a divulgare dati sensibili, riassumere comunicazioni riservate o esporre contesti interni che richiederebbero altrimenti un significativo sforzo per essere ottenuti.
- Avvelenamento dei workflow agentici Man mano che i sistemi AI assumono ruoli sempre più attivi, una prompt injection può condizionarne il comportamento nel tempo, inserendo link malevoli nelle risposte, reindirizzando gli utenti verso risorse non attendibili o agendo come un “man-in-the-middle” all’interno del sistema.
Perché gli strumenti tradizionali non bastano
La prompt injection sfida le assunzioni su cui è costruita la sicurezza email tradizionale. Non assomiglia al phishing classico: non ci sono link sospetti, allegati anomali o tecniche di social engineering evidenti.
L’obiettivo dell’attaccante è esattamente l’opposto: l’email deve sembrare perfettamente innocua, consegnata senza destare sospetti e rimanere nella casella di posta senza che il destinatario noti nulla di strano. Il vettore d’attacco non è pensato per l’utente umano, è pensato per l’AI che elaborerà quell’email.
Anche il rilevamento basato su pattern è problematico: i prompt iniettati variano enormemente in struttura e formulazione, rendendo le regole regex poco affidabili. Un ruleset troppo ampio genera falsi positivi in abbondanza; uno troppo stretto lascia passare la maggior parte degli attacchi.
Come Darktrace intercetta questi attacchi
L’approccio di Darktrace alla sicurezza email si basa su un principio fondamentale: guardare oltre i singoli indicatori e valutare il contesto complessivo. Questo vale anche per la prompt injection.
Prompt density score
Invece di trattare la presenza di una singola frase sospetta come un segnale di blocco, Darktrace analizza la concentrazione di linguaggio simile a un prompt all’interno di un’email. Il sistema identifica cluster di pattern prompt-like: non una singola occorrenza isolata, ma un’insolita densità di questi elementi che suggerisce un tentativo di injection.
Rilevamento dell’offuscamento
Un peso aggiuntivo viene assegnato quando ci sono segnali di occultamento deliberato. Testo reso invisibile all’occhio umano, come caratteri con font di colore bianco su sfondo bianco, o con dimensione zero, ma perfettamente leggibile dai sistemi AI, rappresenta un indicatore chiaro di un tentativo di nascondere istruzioni malevole. Darktrace è in grado di rilevare proprio questo tipo di manipolazione.
Segnali comportamentali contestuali
Il rilevamento non si basa solo sull’analisi del contenuto dell’email in isolamento. Darktrace integra i segnali di prompt injection con il contesto comportamentale più ampio: il contenuto è insolito per quel destinatario? Si discosta dai pattern di comunicazione abituali? Questi elementi, già usati per rilevare altre minacce email, restano rilevanti anche in questo scenario.
Il risultato è un approccio stratificato: nessun singolo indicatore è sufficiente da solo, ma la combinazione di densità linguistica anomala, tecniche di offuscamento e deviazioni comportamentali permette di identificare tentativi di injection con alta precisione, riducendo al minimo i falsi positivi.
Come difendersi: domande da porsi
Se la tua azienda utilizza strumenti AI integrati con la posta elettronica è il momento di verificare se questi rischi sono stati considerati. Alcune domande utili da porsi:
- Quali salvaguardie esistono per evitare che le email influenzino i workflow AI nel tempo?
- Come viene valutato il contenuto email che è innocuo per un essere umano, ma potrebbe contenere istruzioni nascoste per sistemi AI?
- Se un’email non contiene link, allegati né tecniche di social engineering, quali segnali usa la piattaforma per identificare un’intenzione malevola?
Conclusione
La prompt injection è ancora una minaccia emergente, con un numero limitato di vittime confermate. Ma la traiettoria è chiara: con l’AI sempre più integrata nei processi aziendali, la superficie d’attacco si è espansa in modo radicale.
La sicurezza aziendale non può più concentrarsi solo sulla protezione degli utenti umani. Deve considerare anche la protezione dei sistemi AI che operano per loro conto, spesso con permessi ampi, accesso trasversale a dati sensibili e una fiducia implicita che gli attaccanti sono già pronti a sfruttare.
Informatics, ski racer, loves travels, Finland, Norway, mountains, squash, photography, Drones and RC Helicopter
RSS - Articoli
Commenti recenti