Nov 05, 2025 Marina Londei Approfondimenti, In evidenza, Minacce, Minacce, News, RSS, Vulnerabilità, Vulnerabilità 0

I ricercatori di Tenable Research hanno scoperto nuove vulnerabilità in ChatGPT che consentono a un attaccante di esfiltrare dati e informazioni personali dalle chat degli utenti. I bug permetterebbero agli attaccanti di provocare leak di dati senza che le vittime se ne accorgano, tramite prompt injection indiretta.

In tutto, i ricercatori hanno trovato sette tra vulnerabilità e tecniche di attacco che sfruttano le debolezze di ChatGPT:

• una vulnerabilità di prompt injection indiretta tramite Browsing Context: gli attaccanti iniettano comandi malevoli in sezioni di blog e articoli, così che quando l’utente richiede un riassunto o una ricerca su queste fonti, quelli vengono eseguiti;
• una vulnerabilità di prompt injection indiretta zero-day in Search Context: gli attaccanti inseriscono un prompt malevolo nascosto in un sito web che viene servito solo all’agente di ricerca dell’LLM e non all’utente. Il comando malevolo viene eseguito non appena il sito viene indicizzato dalla ricerca del chatbot;
• una 1-click prompt injection: in questo caso il prompt malevolo viene inserito in un link creato ad hoc del tipo “chatgpt[.]com/?q={Prompt}”, in modo che il chatbot elabori il contenuto del parametro “q” come una normale richiesta utente;
• un Safety Mechanism Bypass, ovvero un tecnica che elude la validazione di sicurezza url_safe che il chatbot usa per capire se un URL è sicuro. Il bug sfrutta il fatto che domini noti come bing.com sono in una whitelist e superano sempre il controllo di sicurezza. I risultati di ricerca di Bing sono serviti tramite link di tracciamento reindirizzanti statici (bing.com/ck/a…). L’attaccante indicizza i siti web di prova su Bing per ottenere questi link di tracciamento statici, considerati “sicuri” dall’LLM, permettendo così al contenuto finale del sito di essere renderizzato, mascherando gli URL malevoli;
• una Conversation Injection Technique, ovvero una tecnica che usa una prompt injection di primo livello inserendo i prompt malevoli nei siti web combinata a una conversation injection che prevede la generazione di un output manipolato. I comandi malevoli non sono quindi solo nei siti web, ma anche nell’output; questo diventa parte della conversazione con l’utente e del contesto e viene usato per rispondere a richieste future;
• una tecnica per nascondere il contenuto malevolo che sfrutta un bug del modo in cui ChatGPT renderinzza il markdown: renderizzando i blocchi di codice (con “`), tutte le parole della prima riga (tranne la prima parola) non vengono mostrate nella risposta;
• infine, una tecnica di memory injection, variazione della conversation injection che mira a rendere l’attacco persistente: l’attaccante usa SearchGPT per iniettare un comando nel contesto, ma il prompt è progettato per manipolare la memoria del chatbot, causando leak a prescindere dalla sessione e dalla chat.

“L’iniezione di prompt è un problema noto legato al funzionamento dei modelli di linguaggio grande (LLM) e, purtroppo, probabilmente non verrà risolto in modo sistematico nel prossimo futuro. I fornitori di IA dovrebbero assicurarsi che tutti i loro meccanismi di sicurezza (come url_safe) funzionino correttamente per limitare i potenziali danni causati dall’iniezione di prompt” hanno affermato i ricercatori di Tenable Research.

Il team della compagnia ha pubblicato una serie di PoC effettuate su ChatGPT 4o, ma la maggior parte delle vulnerabilità è presente anche in ChatGPT 5. I ricercatori riportano che OpenAI ha rilasciato dei fix per la prompt injection tramite parametro nell’URL, per la vulnerabilità che consente la manipolazione della memoria del chatbot e per il bypass di url_safe.