Uno studio rivela come un agente AI di OpenAI sia stato ingannato per eseguire un furto di dati via email: ecco cosa è successo e quali servizi sono a rischio.
Un agente AI basato su ChatGPT ha eseguito comandi nascosti in un’email, sottraendo dati da Gmail senza che l’utente ne fosse consapevole.
In un mondo sempre più governato da intelligenze artificiali autonome, arriva un campanello d’allarme che non può essere ignorato. Un nuovo studio di Radware ha dimostrato come un agente AI integrato in ChatGPT sia stato manipolato da un attacco sofisticato che ha preso di mira account Gmail, eseguendo operazioni dannose in completa autonomia e senza alcun segnale visibile per la vittima.
Lo scenario non è tratto da un film di fantascienza, ma da un test condotto nel 2025 su un vero agente operativo. Il tutto si è svolto attraverso una tecnica nota come prompt injection, un sistema di comandi nascosti in grado di trasformare una semplice email in un’arma informatica capace di bypassare le difese tradizionali.
Il caso Shadow Leak: ChatGPT attivato da una semplice email
L’attacco è stato battezzato Shadow Leak, e il nome riflette perfettamente la sua natura subdola. Gli agenti AI, a differenza dei tradizionali chatbot, operano senza supervisione costante, hanno accesso a file, email, calendari e spesso anche a piattaforme cloud aziendali. Questo li rende strumenti estremamente efficienti, ma anche potenzialmente vulnerabili a manipolazioni esterne.
Nel test condotto dai ricercatori, l’agente AI – identificato come Deep Research, collegato a un account Gmail – ha ricevuto un’email con istruzioni nascoste nel testo, invisibili all’occhio umano. Non appena l’utente ha attivato l’agente, questi ha letto il contenuto “occulto” e ha iniziato ad eseguire comandi malevoli: ricerca di email contenenti termini legati alle risorse umane, raccolta di dati personali e invio silenzioso di queste informazioni verso server esterni controllati dagli attaccanti.
Il tutto è avvenuto senza che l’utente se ne accorgesse e soprattutto senza che i tradizionali sistemi di sicurezza rilevassero nulla, poiché l’attacco non proveniva dall’esterno, ma dall’interno della stessa infrastruttura cloud di OpenAI.
Secondo Radware, ciò che rende questo attacco particolarmente pericoloso è la sua invisibilità. Le esfiltrazioni di dati sono partite da un agente IA all’interno di un ambiente cloud considerato sicuro, quindi non intercettate dai firewall o dagli antivirus aziendali. In pratica, la minaccia era già “autorizzata” all’interno del sistema.
Un altro elemento critico è che la prompt injection può sfruttare trucchetti visivi, come scritte bianche su sfondo bianco, per nascondere i comandi ai controlli umani e ai tool di revisione automatica. Questo significa che anche in una normale revisione dei messaggi ricevuti, l’attacco potrebbe non venire individuato.
Oltre a Gmail, gli esperti avvertono che altri servizi collegati a ChatGPT o a Deep Research sono potenzialmente vulnerabili allo stesso tipo di exploit. Tra questi:
Outlook, Google Drive, Dropbox, GitHub, ma anche strumenti interni utilizzati in contesti aziendali per la gestione documentale, dei calendari e delle note di riunione. Un attacco simile, in questi contesti, potrebbe portare al furto di documenti riservati, codici sorgente o dati sensibili dei clienti.
OpenAI interviene, ma il problema resta aperto
OpenAI, informata del problema a giugno 2025, ha confermato di aver corretto la vulnerabilità con un aggiornamento rapido lato server. L’azienda ha anche dichiarato di essere al lavoro su nuove misure di protezione per i suoi agenti AI autonomi, ma l’episodio ha sollevato forti preoccupazioni nel mondo della cybersicurezza.
L’attacco Shadow Leak dimostra che non basta più proteggere la rete dall’esterno, ma occorre ripensare completamente le difese interne nei sistemi in cui gli agenti AI agiscono con accesso diretto a risorse sensibili.
Molti esperti ritengono che serva una nuova generazione di strumenti di monitoraggio AI-centrici, capaci di tracciare ogni decisione presa da un agente autonomo, ricostruendo la catena logica che ha portato a un’azione. Senza questi strumenti, gli utenti e le aziende restano ciechi di fronte a quello che le loro intelligenze artificiali stanno realmente facendo.
L’AI nel mirino della cybersicurezza: serve una nuova cultura digitale
Il caso ChatGPT e Shadow Leak apre un nuovo fronte nella sicurezza informatica. Non si tratta più solo di proteggere i dispositivi o i dati da attacchi esterni, ma di governare strumenti potenti e in parte imprevedibili. Gli agenti AI sono ormai integrati nella vita quotidiana di milioni di persone, nelle aziende, nelle scuole, nella pubblica amministrazione.
Ed è proprio la loro capacità di apprendere, agire e adattarsi che li rende tanto utili quanto pericolosi. Come ha sottolineato uno dei ricercatori coinvolti nello studio, “ci stiamo abituando a delegare sempre più compiti alle intelligenze artificiali, ma raramente ci chiediamo come queste intelligenze prendano davvero decisioni quando nessuno le guarda”.
La sicurezza dell’IA diventa così uno dei temi chiave del 2025, non solo per gli sviluppatori e i tecnici, ma per tutti coloro che ogni giorno si affidano, spesso inconsapevolmente, a sistemi intelligenti. In un mondo in cui una semplice email può trasformarsi in un comando pericoloso, non è più possibile ignorare il bisogno di formazione, trasparenza e controllo.