L’uso dell’intelligenza artificiale nei servizi quotidiani continua a crescere, ma non senza criticità. L’ultimo caso riguarda Gmail e la funzione di sintesi automatica delle email gestita dal modello Gemini. Secondo quanto scoperto dai ricercatori del team 0din di Mozilla, sarebbe possibile alterare i riassunti generati dall’AI inserendo comandi nascosti all’interno del corpo dell’email. Un meccanismo potenzialmente sfruttabile per operazioni di phishing mirato.
Il metodo è noto come prompt injection e sfrutta righe di testo nascoste grazie a HTML e CSS, ad esempio utilizzando caratteri bianchi o con dimensione zero. All’occhio umano il messaggio appare del tutto innocuo, ma Gemini interpreta quei comandi nascosti come contenuto legittimo da includere nella sintesi. Il risultato è un riepilogo manipolato, come un falso avviso di compromissione dell’account, che invita a contattare un numero telefonico e fornire un codice di verifica.
Anche Docs, Slides e Drive nel mirino
Sebbene l’attacco richieda un’azione dell’utente — come leggere il riepilogo e fidarsi delle informazioni fornite — il rischio non è da sottovalutare. Secondo l’analisi di Mozilla, la vulnerabilità è classificata a rischio moderato, ma le implicazioni sono serie: una campagna ben orchestrata può portare al furto di credenziali sensibili tramite voice phishing.
Il fenomeno non riguarda solo Gmail. Lo stesso approccio potrebbe essere applicato anche ad altri strumenti della suite Google Workspace che integrano Gemini, tra cui Docs, Slides e Drive. Messaggi generati automaticamente, newsletter e comunicazioni SaaS diventano così potenziali vettori di attacchi su vasta scala, soprattutto in ambienti aziendali o scolastici.
Il ricercatore Marco Figueroa ha definito queste tecniche le “nuove macro delle email”, sottolineando come la fiducia riposta nei contenuti generati dall’AI possa diventare un’arma a doppio taglio.
Google promette misure di protezione
Dopo la segnalazione, Google ha dichiarato di essere al lavoro su nuove contromisure di sicurezza, adottando un approccio multilivello per arginare le prompt injection su tutte le piattaforme Gemini. Non sono stati condivisi dettagli sui tempi di rilascio degli aggiornamenti, ma l’attenzione resta alta, soprattutto ora che le AI entrano sempre più in profondità nei flussi di comunicazione quotidiana.
