Una vulnerabilità sconosciuta consentiva l’esfiltrazione di dati sensibili all’insaputa degli utenti nelle conversazioni che avvenivano su ChatGPT
Check Point Research (CPR), la divisione di Threat Intelligence di Check Point Software Technologies Ltd., pioniere e leader globale nelle soluzioni di sicurezza informatica, ha scoperto una vulnerabilità finora sconosciuta che consentiva l’esfiltrazione silenziosa di dati sensibili relativi alle conversazioni su ChatGPT, il tutto all’insaputa e senza il consenso degli utenti, prima che OpenAI risolvesse completamente il problema.
Gli assistenti IA come ChatGPT sono considerati ambienti affidabili per la gestione di alcuni dei dati più sensibili in possesso degli utenti, che discutono di sintomi medici, caricano documenti finanziari, analizzano contratti e incollano documenti riservati, dando per scontato che il tutto sia al sicuro all’interno della piattaforma.
Tale presupposto è stato momentaneamente messo in discussione dalla ricerca di Check Point Research. Sebbene il problema sia stato nel frattempo completamente risolto da OpenAI, la scoperta offre una lezione molto più ampia per le imprese e i responsabili della sicurezza: gli strumenti di IA non dovrebbero essere considerati sicuri di default.
Così come le organizzazioni hanno imparato a non fidarsi ciecamente dei fornitori di servizi cloud, la stessa logica si applica ora ai fornitori di IA. La sicurezza nativa non equivale a una sicurezza sufficiente. L’IA richiede un livello di sicurezza indipendente aggiuntivo.
La ricerca di Check Point ha dimostrato che un singolo prompt malevolo può trasformare una normale conversazione su ChatGPT in un canale nascosto di esfiltrazione dei dati. Una volta attivato, il contenuto selezionato dalla chat, inclusi i messaggi degli utenti, i file caricati e i riassunti generati dall’IA, poteva essere trasmesso all’esterno senza alcun avviso o approvazione.
Dal punto di vista dell’utente, non sembrava esserci nulla di insolito. L’assistente continuava a rispondere normalmente. Non venivano visualizzati avvisi. Non comparivano finestre di dialogo per la richiesta di autorizzazione. Eppure, informazioni sensibili stavano silenziosamente lasciando l’ambiente. Ciò è particolarmente preoccupante considerando come viene utilizzato ChatGPT oggi. Gli utenti caricano, infatti, ogni giorno dati, documenti finanziari, medici e materiali strategici interni, spesso senza considerare appieno dove potrebbero finire e chi potrebbe vederli. In un flusso di lavoro basato sull’IA, la sicurezza dei dati dipende dall’anello più debole dello stack di IA.
ChatGPT è stato progettato con misure di sicurezza volte a impedire la condivisione non autorizzata dei dati. Dal punto di vista dell’utente, la condivisione dei dati in uscita dovrebbe essere limitata, trasparente e basata sul consenso:
- L’ambiente di esecuzione del codice e di analisi dei dati è progettato senza accesso diretto a Internet in uscita
- Gli strumenti web sono limitati in modo che i contenuti sensibili delle chat non possano essere trasmessi di nascosto
- La condivisione legittima di dati esterni, come le GPT Actions che chiamano API di terze parti, richiede l’approvazione esplicita dell’utente, indicando chiaramente quali dati saranno inviati e dove
Pertanto, se i dati escono da ChatGPT, l’utente ne sarà a conoscenza e li approverà.
Il problema è che la vulnerabilità non ha violato direttamente queste misure di sicurezza. Le ha invece aggirate completamente. Anziché utilizzare canali in uscita evidenti come le richieste HTTP o le API esterne, l’attacco ha sfruttato un canale laterale nascosto all’interno del runtime Linux che ChatGPT utilizza per l’esecuzione del codice e l’analisi dei dati.
Mentre l’accesso diretto a Internet era bloccato come previsto, la risoluzione DNS rimaneva disponibile come parte del normale funzionamento del sistema. Il DNS è tipicamente considerato un’infrastruttura innocua, utilizzata per risolvere i nomi di dominio, non per trasmettere dati. Tuttavia, il DNS può essere abusato come meccanismo di trasporto nascosto codificando le informazioni nelle query di dominio. Dal momento che l’attività DNS non era classificata come condivisione di dati in uscita:
- Non sono state attivate finestre di dialogo di approvazione
- Non sono apparsi avvisi
- Il modello stesso non ha riconosciuto il comportamento come rischioso
Questo ha creato un punto cieco. La piattaforma ha dato per scontato che l’ambiente fosse isolato. Il modello ha dato per scontato di operare interamente all’interno di ChatGPT. E gli utenti hanno dato per scontato che i loro dati non potessero uscire senza consenso. Tutte e tre le supposizioni erano ragionevoli, e tutte e tre erano incomplete.
Questo è un insegnamento fondamentale per i team di sicurezza: le misure di protezione dell’IA spesso si concentrano sulle politiche e sulle intenzioni, mentre gli aggressori sfruttano l’infrastruttura e il comportamento.
L’attacco ha richiesto un solo prompt malevolo. Da quel momento in poi, ogni nuovo messaggio nella conversazione è diventato una potenziale fonte di fuga di dati. Fondamentalmente, gli attaccanti non avevano bisogno di rubare interi documenti. Il prompt poteva istruire il modello a estrarre e trasmettere solo le informazioni più preziose: sintesi, conclusioni, diagnosi o approfondimenti strategici. In molti casi, questi output generati dall’IA sono più sensibili degli input originali.
Questo approccio si integrava perfettamente nell’uso normale. Molti utenti copiano regolarmente prompt da blog, forum o social media che promettono aumenti di produttività o “funzionalità nascoste”. Un prompt malevolo presentato in questo modo non sarebbe apparso sospetto, rafforzando il motivo per cui la sicurezza dell’IA non può fare affidamento solo sulla consapevolezza degli utenti.
Il rischio è aumentato in modo significativo quando la stessa tecnica è stata integrata all’interno di GPT personalizzati.
Invece di affidarsi agli utenti affinché incollassero un prompt dannoso, gli attaccanti potevano incorporare la logica direttamente nelle istruzioni di un GPT. Bastava che gli utenti aprissero e interagissero con il GPT.
In una dimostrazione proof-of-concept, i ricercatori di Check Point hanno creato un GPT che funge da medico personale. Un utente ha caricato i risultati di analisi contenenti informazioni personali e ha chiesto una consulenza. L’interazione è apparsa del tutto normale. Quando gli è stato chiesto, l’assistente ha affermato con sicurezza che nessun dato era stato condiviso all’esterno.
Allo stesso tempo, un server controllato dall’autore dell’attacco ha ricevuto i dati identificativi del paziente e la valutazione medica generata dall’IA. Ciò ha messo in luce una realtà pericolosa: l’IA può apparire affidabile mentre, dietro le quinte, agisce in modo completamente diverso.
Lo stesso canale di comunicazione nascosto potrebbe essere utilizzato non solo per la fuga di dati. I ricercatori hanno dimostrato che potrebbe anche consentire l’esecuzione di comandi remoti all’interno del runtime di ChatGPT.
Inviando comandi tramite query DNS e ricevendo risposte allo stesso modo, gli attaccanti potrebbero stabilire una shell remota all’interno dell’ambiente Linux utilizzato per l’esecuzione del codice, al di fuori dei controlli di sicurezza del modello e invisibile all’interfaccia della chat. A quel punto, la questione si è estesa oltre la privacy degli utenti fino a diventare un rischio per la sicurezza a livello di piattaforma.
Per i settori regolamentati, le implicazioni sono ancora più gravi. Una violazione tramite uno strumento di IA non è solo un incidente di sicurezza, ma può diventare:
- Una violazione del GDPR
- Una violazione dell’HIPAA
- Un inadempimento in materia di conformità finanziaria o normativa
Le organizzazioni sanitarie, i servizi finanziari e le organizzazioni governative devono trattare gli strumenti di IA come parte del loro ambiente regolamentato, non come app di consumo che si trovano al di fuori dei controlli esistenti. I CISO non possono permettersi di considerare l’IA come “un rischio di qualcun altro”.
Il problema è stato indirizzato in modo responsabile e OpenAI ha confermato di aver già identificato internamente il problema. Una correzione completa è stata implementata il 20 febbraio 2026, chiudendo il percorso di comunicazione non intenzionale. Non vi sono indicazioni di sfruttamento in circolazione. Ma l’insegnamento appreso va oltre una singola vulnerabilità.
“Questa ricerca conferma una dura realtà dell’era dell’IA: non bisogna dare per scontato che gli strumenti di IA siano sicuri di default”, afferma Eli Smadja, Head of Research, Check Point Research. “Man mano che le piattaforme di IA si evolvono in veri e propri ambienti informatici che gestiscono i nostri dati più sensibili, i controlli di sicurezza nativi non sono più sufficienti da soli. Le organizzazioni hanno bisogno di una visibilità indipendente e di una protezione a più livelli tra loro e i fornitori di IA. È così che possiamo andare avanti protetti: ripensando l’architettura di sicurezza per l’IA, invece di reagire al prossimo incidente”.
Le piattaforme di IA si stanno evolvendo più rapidamente rispetto a quanto la maggior parte delle organizzazioni riesca a valutarne il rischio. Proteggere l’IA non significa correggere un singolo difetto: richiede un ripensamento dell’architettura di sicurezza per l’era dell’IA. Ciò significa considerare i sistemi di IA come ambienti informatici completi e proteggerli di conseguenza, dalla logica delle applicazioni fino al comportamento dell’infrastruttura.
Check Point affronta questo problema proteggendo le interazioni degli utenti con le applicazioni di IA generativa (prevenendo l’iniezione accidentale di prompt), applicando il DLP per impedire l’esposizione dei dati sensibili e fornendo protezione di rete e prevenzione delle minacce per rilevare tecniche di esfiltrazione nascoste o emergenti. Per un controllo più avanzato, le organizzazioni possono instradare il traffico IA attraverso un gateway di sicurezza IA e integrare protezioni come la soluzione Workforce AI di Check Point e Lakera Guard, garantendo ispezione, applicazione delle policy e prevenzione delle minacce in tempo reale.
