Un ricercatore scopre una falla in Google Gemini che permette comandi invisibili. Google non la risolve, definendola problema di ingegneria sociale.
L’intelligenza artificiale Google Gemini si trova al centro di un dibattito sulla sicurezza dopo la scoperta di un exploit inedito, denominato attacco “ASCII smuggling”, che il gigante tech ha dichiarato di non avere intenzione di risolvere. La falla è stata portata alla luce dal ricercatore di sicurezza informatica Viktor Markopoulos di FireTail. Il problema riguarda caratteri nascosti all’interno di un testo che Gemini interpreta come comandi eseguibili, sebbene questi rimangano invisibili agli utenti umani. Le istruzioni celate possono alterare il comportamento del modello di intelligenza artificiale, portandolo a eseguire azioni non richieste. L’individuazione dell’attacco risulta complessa perché impiega caratteri di controllo o simboli Unicode che non appaiono sullo schermo, ma che vengono processati dal sistema AI.
Markopoulos ha dimostrato come questa vulnerabilità possa essere sfruttata attraverso semplici input di testo, come inviti di calendario o messaggi di posta elettronica. Una email all’apparenza innocua potrebbe, per esempio, contenere comandi nascosti che inducono Google Gemini a interpretare o a riscrivere i dati in modo errato durante una sintesi o un’interazione con quel testo. Durante le sue prove, il ricercatore è riuscito a fare in modo che Gemini potesse modificare i dettagli di una riunione o generare output fuorvianti, con l’attivazione proveniente da caratteri di cui una persona non sospetterebbe la presenza.
Il livello di allarme aumenta se si considera che lo stesso tipo di attacco, testato su altri importanti sistemi di intelligenza artificiale, ha prodotto risultati differenti. Modelli come ChatGPT di OpenAI, Claude di Anthropic e Copilot di Microsoft hanno neutralizzato o rifiutato gli input contenenti i caratteri nascosti. Al contrario, Gemini, insieme a Grok di Elon Musk e DeepSeek, non è riuscito a bloccare la minaccia.
Malgrado le chiare implicazioni per la sicurezza degli utenti e dei dati, Google ha deciso di non affrontare il problema. Nella sua risposta ufficiale al rapporto di FireTail, l’azienda ha etichettato la questione come un problema di “ingegneria sociale” e non come una vulnerabilità tecnica intrinseca del modello. Google suggerisce quindi che la responsabilità derivi dalla possibilità di ingannare gli utenti, piuttosto che da una debolezza progettuale della sua AI. La decisione potrebbe generare preoccupazione, dato che Gemini interagisce strettamente con sistemi di posta elettronica, pianificazione e gestione documentale. Esiste il rischio concreto che il modello possa rivelare informazioni riservate o facilitare la diffusione di disinformazione all’interno di reti aziendali. Google sostiene che l’attacco non costituisca una falla di sistema, ma la differenza nel modo in cui l’IA e gli esseri umani leggono il testo rappresenta proprio il tipo di discrepanza che gli hacker cercano di sfruttare. Google ha comunque corretto altre vulnerabilità di Gemini nel corso dell’anno, inclusi problemi relativi a log e cronologie noti come “Gemini Trifecta“.
