Il meccanismo nasconde link pericolosi nei metadati degli annunci, inducendo l’intelligenza artificiale della piattaforma a ripubblicarli come collegamenti verificati, minando la fiducia degli utenti.
[In pillole] La sintesi per chi va di fretta:
Una nuova tecnica, 'Grokking', sfrutta l'AI Grok di X per diffondere link malevoli. Gli aggressori nascondono URL nei metadati degli annunci, poi ingannano Grok con domande specifiche. L'AI, ignara, riporta il link come risposta ufficiale, conferendogli legittimità e amplificandone la diffusione. La scoperta di Guardio Labs solleva seri interrogativi sulla sicurezza dei sistemi AI nei social e la manipolazione per scopi illeciti.
La scoperta e la portata dell’operazione
A portare alla luce questo meccanismo è stato Nati Tal, ricercatore a capo di Guardio Labs, che ha documentato l’attacco dimostrando come la risposta di Grok diventi di fatto un veicolo di amplificazione per la minaccia.
Come descritto da The Hacker News, un link che sarebbe stato immediatamente bloccato se inserito direttamente in un annuncio, viene invece servito su un piatto d’argento da un account ufficiale della piattaforma, raggiungendo potenzialmente milioni di visualizzazioni.
La fiducia intrinseca che gli utenti ripongono in un’entità come Grok abbassa le difese, aumentando drasticamente la probabilità che il collegamento venga cliccato.
L’analisi ha rivelato che non si tratta di iniziative isolate, ma di campagne ben strutturate.
Dietro questi attacchi si celerebbe una rete organizzata che gestisce centinaia di account, utilizzati a rotazione per pubblicare annunci fino a quando non vengono sospesi dalla piattaforma. Una volta che un account viene bloccato, un altro è già pronto a prenderne il posto, garantendo una continuità operativa che rende difficile arginare il fenomeno.
I link diffusi attraverso questo metodo non portano quasi mai direttamente a un malware, ma a complessi sistemi di distribuzione del traffico che reindirizzano l’utente verso pagine diverse a seconda della sua posizione geografica, del dispositivo utilizzato e di altri parametri.
La destinazione finale può variare da finte pagine di verifica CAPTCHA, progettate per rubare credenziali, a siti che promuovono estensioni browser malevole o download di software fraudolento.
Questa strategia evidenzia una profonda comprensione non solo delle vulnerabilità tecniche di una piattaforma, ma anche delle dinamiche psicologiche che governano l’interazione online.
Sfruttare la “voce” di un’intelligenza artificiale per diffondere un messaggio malevolo rappresenta un salto di qualità nel campo dell’ingegneria sociale, poiché sposta il vettore dell’attacco da un’interazione tra pari (utente-utente) a una dinamica in cui è la piattaforma stessa, attraverso il suo assistente AI, a farsi garante del contenuto pericoloso.
Un problema che va oltre il singolo attacco
Questo episodio si inserisce in un contesto più ampio di crescenti preoccupazioni riguardo la fretta con cui le grandi aziende tecnologiche stanno implementando soluzioni di intelligenza artificiale, talvolta senza valutarne appieno le implicazioni per la sicurezza e la privacy.
La vulnerabilità sfruttata per il “Grokking” non è infatti l’unica ombra che si allunga sull’assistente di X. Di recente, come documentato da Fortune, è emerso che centinaia di migliaia di conversazioni private degli utenti con Grok sono state indicizzate da Google e rese pubblicamente accessibili.
Il problema derivava dalla funzione di condivisione delle chat, che generava un URL pubblico senza che gli utenti fossero pienamente consapevoli delle conseguenze di tale azione.
Questo schema non è nuovo e ricorda da vicino problemi simili riscontrati in passato con altri chatbot, suggerendo che l’industria nel suo complesso stia ancora faticando a trovare un equilibrio tra innovazione rapida e protezione dei dati.
La corsa a integrare l’intelligenza artificiale in ogni aspetto dei servizi digitali sembra aver lasciato in secondo piano la progettazione di sistemi di sicurezza robusti, capaci di anticipare non solo gli errori involontari, ma anche gli abusi deliberati.
– Leggi anche: Scale AI contro Mercor: la guerra per i dati e i talenti nell’IA sfocia in un’accusa di spionaggio industriale
Nel caso del “Grokking”, la questione è ancora più sottile: Grok funziona esattamente come è stato programmato, ovvero fornendo informazioni presenti nei dati che analizza.
La falla non è nell’AI in sé, ma nell’architettura di sicurezza che le sta intorno, che non ha previsto uno scenario in cui un’informazione legittima per un campo di metadati potesse diventare un’arma se letta e riproposta da un’entità fidata.
Questa falla dimostra un principio fondamentale: la sicurezza non è un’aggiunta, ma parte integrante dell’architettura. Durante lo sviluppo web di una piattaforma complessa, anticipare vettori di attacco inattesi è tanto cruciale quanto scrivere codice funzionante, specialmente quando si integrano componenti di terze parti.
La segnalazione della vulnerabilità è stata inviata ai team di X, ma al momento non è stata rilasciata una comunicazione ufficiale sulle contromisure che verranno adottate. La soluzione potrebbe richiedere un intervento su più livelli: dall’estendere i controlli di sicurezza a tutti i campi di metadati degli annunci, all’implementare filtri nelle risposte di Grok per impedire la pubblicazione automatica di link non verificati.
Le implicazioni per il futuro della fiducia digitale
L’attacco “Grokking” è più di un semplice exploit tecnico; è un campanello d’allarme che segnala l’inizio di una nuova era di minacce informatiche, in cui l’intelligenza artificiale può essere manipolata per diventare essa stessa uno strumento di attacco.
La scalabilità di queste campagne, capaci di raggiungere un pubblico vastissimo con un investimento relativamente modesto in pubblicità, dimostra come l’automazione possa essere piegata a scopi malevoli con un’efficacia senza precedenti.
La vicenda solleva interrogativi fondamentali sulla responsabilità delle piattaforme.
Quando un sistema di intelligenza artificiale integrato e promosso da un’azienda diventa un veicolo di disinformazione o di attacchi informatici, di chi è la colpa?
Dell’attaccante che ne ha sfruttato le debolezze o della piattaforma che non ha previsto adeguati meccanismi di protezione?
La questione è complessa, perché tocca il cuore stesso della fiducia che gli utenti ripongono negli strumenti digitali. Se non possiamo più fidarci delle risposte fornite da un assistente AI ufficiale, l’intero edificio della comunicazione digitale inizia a mostrare delle crepe.
Mentre le aziende continuano a promuovere le loro intelligenze artificiali come assistenti affidabili e imparziali, episodi come questo ci ricordano che sono, prima di tutto, software complessi, soggetti a errori, vulnerabilità e, soprattutto, a manipolazioni.
La sfida per il futuro non sarà solo quella di creare AI più potenti e intelligenti, ma anche quella di costruire ecosistemi digitali in cui la loro presenza non diventi un ulteriore fattore di rischio per la sicurezza e la privacy di tutti.
