Quando il virus convince il tuo agente AI ad hackerare il tuo computer...

Immagina un virus informatico che sia come un biglietto scritto a mano lasciato su una scrivania in un ufficio pieno di assistenti robotici molto efficienti ma ingenui (browser AI agent, - Agent AI); invece di scassinare la porta (come un virus tradizionale), il biglietto dice semplicemente all'assistente di turno: "Copia questo messaggio su tutti i documenti che spedirai oggi e inviane una copia a tutti i tuoi contatti": l'assistente, programmato per obbedire a ogni istruzione scritta, esegue l'ordine senza sospettare che quel messaggio sia un'istruzione dannosa.

Il ricercatore Johann Rehberger dimostra come questi strumenti possano essere manipolati tramite attacchi di prompt injection, capaci di forzare il sistema a scaricare malware o diffondere virus senza alcun clic da parte dell'uomo.

Spesso le vulnerabilità risiedono in istruzioni nascoste o siti web maligni che ingannano l'IA, portandola a ignorare i controlli di sicurezza e a esporre dati sensibili. A causa della natura fragile dei modelli linguistici, gli esperti consigliano di trattare questi agenti come attori non attendibili e potenzialmente già compromessi.

Per mitigare i pericoli, è fondamentale limitare l'autonomia dell'IA utilizzando ambienti isolati ed evitando modalità di esecuzione automatica senza supervisione umana.

Il P.o.C (proof-of-concept) di Johann Rehberger si chiama AgentHopper, ed è un virus basato su intelligenza artificiale, sviluppato dal ricercatore di sicurezza per dimostrare quanto sia facile per un malware diffondersi attraverso gli agenti AI.

A differenza dei virus tradizionali, AgentHopper non si affida principalmente al codice per infettare i sistemi, ma utilizza gli agenti AI stessi per spostarsi da un sistema all'altro. Il virus consiste in un prompt iniettato (prompt injection) nascosto all'interno di un repository di codice.

Quando un agente AI interagisce con il repository infetto, legge il prompt malevolo che gli ordina di replicare il virus in altri repository locali e di caricare le modifiche su piattaforme come GitHub, facilitando così una diffusione virale.

Infatti, una delle caratteristiche più avanzate di AgentHopper è l'uso del "conditional prompt injection"; questo permette al virus di colpire specifici strumenti a seconda di quale agente sta leggendo il prompt; ad esempio, può impartire istruzioni diverse se rileva di essere analizzato da GitHub Copilot rispetto a Claude Code.

Paradossalmente, Rehberger ha dichiarato di aver utilizzato Gemini per scrivere AgentHopper, sottolineando come la creazione di malware sia diventata estremamente semplice grazie alle attuali tecnologie.

Il contesto: la vulnerabilità degli agenti AI

AgentHopper sfrutta la natura intrinsecamente "fragile" dei modelli linguistici (LLM), che Rehberger descrive come attori non attendibili poiché addestrati su dati presi da Internet. Gli agenti AI sono particolarmente suscettibili perché:

• possono essere ingannati da istruzioni nascoste (come l'uso di caratteri ASCII invisibili) o siti web malevoli che istruiscono l'agente a scaricare file o eseguire comandi nel terminale senza l'intervento dell'utente.

• possono accedere e modificare i propri file di configurazione, attivando modalità pericolose come la "YOLO mode", che consente l'esecuzione di comandi senza alcuna validazione umana, portando alla compromissione totale del sistema.

Per proteggersi da minacce come AgentHopper, l'esperto consiglia di non dare mai agli agenti AI il controllo completo del computer, di evitare la modalità YOLO e di isolarli sempre in ambienti sicuri come i container Docker.

#AI #cybersecurity