Con l’avanzare dell’intelligenza artificiale emerge il tema dei potenziali pericoli legati a tale tecnologia. A tal proposito, uno studio recente condotto dai ricercatori della Princeton University mette in risalto una vulnerabilità insidiosa. Quest’ultima permette di “ingannare” un agente AI, inducendolo a trasferire criptovalute verso un indirizzo controllato dai malintenzionati. Al centro della dimostrazione c’è ElizaOS, un framework open source ancora in fase sperimentale, ideato per creare bot capaci di interagire con smart contract e reti blockchain in modo automatizzato.
Ecco come l’AI “ruba” le criptovalute
ElizaOS, nato originariamente con il nome Ai16z e poi ribattezzato, è pensato per integrarsi con diverse piattaforme. Dai contratti intelligenti, fino a canali social come server Discord o a specifiche applicazioni decentralizzate. L’obiettivo è permettere all’agente di eseguire operazioni di pagamento o di scambio criptovalutario sulla base di regole e permessi preimpostati. Delegando così agli utenti la gestione di transazioni in ambienti distribuiti e senza un’autorità centrale.
Proprio tale flessibilità che espone il sistema a rischi. I ricercatori di Princeton hanno, infatti, realizzato un attacco di context poisoning. Quest’ultimo sfrutta la capacità dell’agente di memorizzare conversazioni e istruzioni in un database persistente. È sufficiente che un utente abbia fornito i permessi di scrittura sulla memoria dell’agente per inserire comandi apparentemente leciti, i quali però contengono indicazioni fraudolente. Di conseguenza, quando un utente legittimo richiede un trasferimento di Ethereum verso il proprio wallet, l’agente, richiamando la memoria contaminata, esegue la transazione verso l’indirizzo sbagliato. Svuotando il conto della vittima a vantaggio del malintenzionato.
Il pericolo diventa particolarmente grave in ambienti multiutente. Qui diversi interlocutori possono interagire allo stesso tempo con lo stesso agente AI. Ciò significa che un singolo comando malevolo, se inserito nelle fasi iniziali, può compromettere in cascata ogni successiva transazione. Rendendo difficilissima la diagnosi dell’attacco e la ripartenza del sistema in sicurezza.
Shaw Walters, il creatore di ElizaOS, ha chiarito che, ad oggi, l’agente non accede direttamente ai wallet degli utenti. Il framework utilizza intermediari con sistemi di autenticazione aggiuntivi. Eppure, ammette che il dilagare di feature sempre più sofisticate e la crescente autonomia operativa degli agenti AI renderanno ben presto tale approccio parzialmente insufficiente. Considerando tale scenario, è necessario, prima di affidare ad un agente AI qualsiasi asset di natura finanziaria, implementare robuste strategie di verifica e di tutela dei dati.
