Un “worm” è un tipo di malware, un software dannoso progettato per replicarsi e diffondersi da un sistema informatico all’altro, senza bisogno di un’azione diretta da parte dell’utente. A differenza dei virus, i quali richiedono l’interazione dell’utente per propagarsi, i worm possono sfruttare vulnerabilità di sicurezza nei sistemi informatici per diffondersi in modo autonomo. Possono infettare computer, reti e dispositivi connessi, causando danni significativi come il rallentamento delle prestazioni, la perdita di dati sensibili o il danneggiamento dei sistemi. Inoltre, i worm possono essere utilizzati per scopi malevoli come il furto di informazioni personali o finanziarie, il monitoraggio delle attività dell’utente o il controllo remoto dei dispositivi infettati.
Con lo sviluppo delle Intelligenze artificiali si prefigurano scenari sempre più avvenieristici, in cui le IA sono in grado di supportare le attività umane, suggerire quando fare la spesa, organizzare un calendario e scrivere gli articoli di un sito. Ma le stesse potrebbero prefigurarsi per un nuovo tipo di attacco informatico inedito, studiato dai ricercatori di sicurezza informatica Nassi, Cohen e Bitton, che hanno creato Morris II, ricordandoci il worm informatico Morris che aveva causato caos in rete sul finire degli anni Ottanta (nato, lo ricordiamo, da un esperimento di uno studente del MIT). I ricercatori hanno mostrato come Morris II possa attaccare un assistente email di intelligenza artificiale generativa per sottrarre dati dalle email e inviare messaggi spam, superando le principali protezioni di sicurezza presente sia in ChatGPT che nel suo principale concorrente, Gemini (Google DeepMind).
Le modalità di attacco sono due: utilizzare un prompt “autoreplicante” basato su testo, di base, ma anche incorporare un prompt autoreplicante all’interno di un’immagine. Nel primo caso i ricercatori, agendo in veste di aggressori informatici, hanno composto un’e-mail contenente il messaggio di testo malevolo, che è in grado di “avvelenare” il database di un assistente di posta elettronica che sfrutta un LLM per incorporare dati aggiornati dall’esterno. Quando l’e-mail viene recuperata dal sistema, in risposta a una query dell’utente, e viene inviata a GPT-4 o Gemini Pro per creare una risposta, esegue una sorta di jailbreak dell’intelligenza artificiale e arriva a sottrarre i dati dalle e-mail. Il worm è a questo punto in grado di autoreplicarsi su altre macchine, e ripetere il processo indefinitamente. Stesso discorso, più subdolamente, può essere fatto attraverso un’immagine contenente del testo che non provoca alterazioni al suo aspetto grafico.
Lo studio è stato pubblicato su https://sites.google.com/view/compromptmized.