Una nuova e pericolosa vulnerabilità ha colpito ChatGPT, mettendo a rischio i dati sensibili di milioni di utenti e aziende in tutto il mondo. Si chiama ZombieAgent ed è stata scoperta dai ricercatori di sicurezza di Radware all'inizio di gennaio 2026. Questa falla sfrutta una tecnica nota come prompt injection indiretto per rubare informazioni personali, email, documenti e persino manipolare la memoria del chatbot.
Il problema è particolarmente grave perché l'attacco può avvenire senza alcuna azione da parte dell'utente: basta ricevere un'email malevola collegata al proprio account ChatGPT per esporre tutti i propri dati. OpenAI ha già rilasciato una patch temporanea, ma gli esperti avvertono che il problema strutturale del prompt injection rimane irrisolto.
Cos'è il Prompt Injection e Perché è Così Pericoloso
Prima di capire come funziona ZombieAgent, è fondamentale comprendere cosa sia il prompt injection. Si tratta di una tecnica di attacco che sfrutta l'incapacità dei modelli di intelligenza artificiale di distinguere tra istruzioni legittime dell'utente e comandi malevoli nascosti all'interno di contenuti esterni.
In pratica, quando chiedi a ChatGPT di leggere un'email, analizzare un documento o riassumere una pagina web, il chatbot elabora tutto il contenuto come se fosse una richiesta da eseguire. Un attaccante può quindi nascondere istruzioni pericolose all'interno di questi contenuti, ad esempio utilizzando testo bianco su sfondo bianco nelle email o caratteri invisibili nei documenti.
La differenza tra prompt injection diretto e indiretto
Nel prompt injection diretto, l'utente stesso inserisce comandi malevoli nel chatbot. Nel caso indiretto, invece, le istruzioni dannose provengono da fonti esterne che l'AI elabora automaticamente. ZombieAgent appartiene a questa seconda categoria, rendendolo particolarmente insidioso perché non richiede alcuna interazione consapevole della vittima.
Come Funziona l'Attacco ZombieAgent
ZombieAgent è l'evoluzione di un attacco precedente chiamato ShadowLeak, scoperto sempre da Radware nel settembre 2025. Dopo che OpenAI aveva implementato contromisure per bloccare ShadowLeak, i ricercatori hanno trovato un modo ingegnoso per aggirare le nuove protezioni.
La vulnerabilità sfrutta i Connettori di ChatGPT, ovvero la funzionalità che permette di collegare servizi esterni come Gmail, Outlook, Google Drive, GitHub, Slack, Teams e altri al chatbot. Questi connettori sono molto utili per aumentare la produttività, ma aprono anche nuovi vettori di attacco.
I 4 Scenari di Attacco Documentati
I ricercatori di Radware hanno identificato quattro diversi scenari di attacco, ognuno con caratteristiche specifiche:
Scenario 1 - Attacco Zero-Click via Email: L'attaccante invia un'email alla vittima contenente istruzioni nascoste. Quando l'utente chiede a ChatGPT di leggere o riassumere la posta, il chatbot esegue i comandi malevoli senza che l'utente se ne accorga. I dati vengono inviati a un server controllato dall'attaccante carattere per carattere, utilizzando una lista di URL pre-costruiti per ogni lettera dell'alfabeto.
Scenario 2 - Attacco One-Click via File: Le istruzioni malevole sono nascoste all'interno di un documento che l'utente carica su ChatGPT per l'analisi. Quando il chatbot elabora il file, esegue i comandi e trasmette i dati sensibili al server dell'attaccante.
Scenario 3 - Persistenza nella Memoria: Questo è forse lo scenario più pericoloso. Le istruzioni contenute in un file modificano la memoria a lungo termine di ChatGPT, quella funzionalità che permette al chatbot di ricordare le preferenze dell'utente. Una volta impiantate, queste regole malevole rimangono attive per tutte le conversazioni future.
Scenario 4 - Propagazione Automatica: L'attacco si comporta come un vero e proprio worm informatico. Le istruzioni nell'email ordinano a ChatGPT di estrarre tutti gli indirizzi email dalla casella di posta della vittima e di inviare lo stesso messaggio malevolo ai contatti, propagando l'attacco in modo autonomo.
Come l'Attacco Aggira le Protezioni di OpenAI
Dopo l'attacco ShadowLeak, OpenAI aveva implementato una protezione che impediva a ChatGPT di modificare gli URL o aggiungere parametri dinamici ai link. Questa contromisura sembrava efficace, ma i ricercatori hanno trovato una soluzione sorprendentemente semplice.
Invece di costruire URL dinamicamente, ZombieAgent fornisce a ChatGPT una lista completa di URL statici pre-costruiti, uno per ogni carattere alfanumerico. Ad esempio: example.com/a, example.com/b, example.com/c e così via. In questo modo, il chatbot non modifica alcun URL ma semplicemente accede a quelli già presenti nella lista, aggirando completamente la protezione.
OpenAI ha risposto limitando l'apertura di link provenienti da email non verificate, ma come sottolinea Pascal Geenens, vicepresidente della divisione threat intelligence di Radware, questa è solo una soluzione temporanea a un problema strutturale.
Chi è a Rischio e Quali Dati Possono Essere Rubati
ZombieAgent rappresenta una minaccia significativa sia per gli utenti privati che per le aziende. Ecco cosa può essere compromesso:
Per gli utenti privati: email personali e lavorative, cronologia delle conversazioni con ChatGPT, documenti salvati su cloud come Google Drive e OneDrive, informazioni memorizzate nella memoria del chatbot inclusi preferenze, abitudini e dati personali condivisi nelle chat.
Per le aziende: comunicazioni interne su Slack e Teams, ticket di supporto su Jira, codice sorgente su GitHub, documenti riservati, strategie aziendali discusse con l'AI e dati dei clienti.
Il rischio è amplificato dal fatto che molte organizzazioni stanno integrando ChatGPT nei propri workflow aziendali, spesso collegando servizi che contengono informazioni sensibili. Un singolo dipendente compromesso potrebbe esporre l'intera rete di contatti e documenti aziendali.
Come Proteggersi da ZombieAgent
In attesa di una soluzione definitiva al problema del prompt injection, esistono alcune precauzioni che utenti e aziende possono adottare per ridurre il rischio:
Limita i Connettori attivi: Collega a ChatGPT solo i servizi strettamente necessari. Ogni connettore aggiuntivo aumenta la superficie di attacco. Se non usi regolarmente l'integrazione con Gmail o Drive, considera di disattivarla.
Verifica le email prima di analizzarle: Prima di chiedere a ChatGPT di elaborare un'email, controllane manualmente il contenuto. Diffida di messaggi da mittenti sconosciuti o con formattazione insolita.
Controlla la memoria di ChatGPT: Periodicamente, verifica cosa è memorizzato nella memoria a lungo termine del chatbot. Nelle impostazioni di ChatGPT puoi visualizzare e cancellare le informazioni salvate.
Non caricare file sospetti: Evita di far analizzare a ChatGPT documenti provenienti da fonti non verificate. Un file apparentemente innocuo potrebbe contenere istruzioni malevole nascoste.
Per le aziende - implementa policy specifiche: Definisci linee guida chiare su quali dati possono essere condivisi con strumenti AI e quali connettori sono autorizzati. Forma i dipendenti sui rischi del prompt injection.
Il Futuro della Sicurezza AI: Un Problema Strutturale
Gli esperti di sicurezza concordano sul fatto che il prompt injection sia una vulnerabilità intrinseca dei modelli di linguaggio attuali. Come spiega Geenens, i guardrail implementati dalle aziende sono soluzioni temporanee che bloccano attacchi specifici ma non risolvono il problema alla radice.
Il ciclo di vulnerabilità e patch ricorda quanto accade con altre falle storiche della sicurezza informatica come SQL injection e memory corruption. Finché non emergerà una soluzione architetturale che permetta ai modelli AI di distinguere in modo affidabile tra istruzioni legittime e malevole, gli utenti dovranno mantenere alta la guardia.
Nel frattempo, è fondamentale essere consapevoli dei rischi e adottare un approccio prudente nell'utilizzo degli strumenti AI, specialmente quando si trattano dati sensibili o si collegano servizi che contengono informazioni riservate.
Se utilizzi l'intelligenza artificiale per il tuo business o stai valutando di integrarla nei tuoi processi aziendali, è importante affidarsi a professionisti che possano guidarti nella scelta delle soluzioni più sicure. Contattami per una consulenza sulla sicurezza e lo sviluppo delle tue applicazioni web.
