L’idea dietro Deep Research, la versione “approfondita” di ChatGPT lanciata da OpenAI, è semplice ma ambiziosa: affidare all’intelligenza artificiale il compito di fare quello che per un essere umano richiederebbe ore di lavoro. Non si tratta solo di consultare siti web o documenti pubblici, ma anche di accedere a risorse personali come email, file aziendali e altri archivi riservati, con l’obiettivo di sintetizzare informazioni complesse in pochi minuti. In teoria, un sogno per chi lavora con dati e ricerche, nella pratica un grande passo avanti nella produttività digitale.
Deep Research di OpenAI: efficienza massima con attenzione alla sicurezza
Il problema è che ogni tecnologia che apre porte così ampie diventa inevitabilmente una possibile porta d’accesso per chi ha cattive intenzioni. La società di cybersicurezza Radware ha dimostrato nei giorni scorsi quanto anche un sistema avanzato come Deep Research possa essere vulnerabile. La facilità con cui l’agente AI può muoversi tra dati privati, senza supervisione costante, si trasforma in una superficie di attacco ampia e pericolosa, pronta a essere sfruttata se non si prendono le dovute precauzioni.
L’attacco messo a punto dai ricercatori è stato battezzato ShadowLeak. Funziona attraverso prompt nascosti, inseriti in email o documenti, spesso impercettibili perché il testo è mimetizzato, per esempio bianco su sfondo bianco. Quando l’agente AI legge il prompt, lo interpreta come legittimo e lo esegue senza chiedersi nulla, come se fosse un ordine normale. Nei test di Radware, Deep Research è stato indotto a scansionare la posta di un utente, estrarre nomi e indirizzi di dipendenti e inviarli a un server esterno. Tutto senza alcuna interazione da parte dell’utente, senza click sospetti o segnali visibili di compromissione.
La vulnerabilità sfrutta una caratteristica fondamentale dei modelli linguistici: seguono pedissequamente le istruzioni ricevute. Prompt troppo lunghi o articolati possono confonderli o aggirare i controlli, trasformando la loro forza in un potenziale rischio. ShadowLeak sfrutta proprio questo principio, dimostrando che le capacità che rendono utili questi assistenti possono essere trasformate in strumenti silenziosi per la sottrazione di dati.
La buona notizia è che OpenAI ha già messo in atto contromisure per bloccare la possibilità di estrarre informazioni sensibili tramite link o markdown senza il consenso esplicito dell’utente. ShadowLeak rimane comunque un campanello d’allarme, un promemoria che l’autonomia degli assistenti AI, per quanto utile, richiede sempre attenzione e protezioni adeguate.
