Nel panorama della sicurezza informatica, pochi attacchi hanno combinato ingegneria sociale, vulnerabilità dei modelli linguistici e astuzia tecnica come la prompt injection via PDF rivelata da Zenity a Black Hat 2025. L’evento ha confermato un sospetto che circolava tra gli addetti ai lavori: i Large Language Models (LLM) come ChatGPT sono potentissimi, ma restano vulnerabili a istruzioni nascoste che sfruttano la loro stessa logica di elaborazione. Non serve alcun click dell’utente, basta un PDF “avvelenato” e l’account è compromesso
Il meccanismo è subdolo. Il documento, apparentemente innocuo, contiene testo nascosto con colori uguali allo sfondo o dimensioni microscopiche. Quando l’utente lo carica su ChatGPT per un riassunto o una traduzione, l’LLM interpreta tutto il contenuto, compreso il prompt malevolo. Qui entrano in gioco i connettori, funzionalità che permettono al modello di interagire con Google Drive, SharePoint, GitHub e altri servizi esterni. Il prompt istruisce il modello a eseguire azioni precise, apparentemente innocue, che in realtà conducono all’esfiltrazione di dati riservati. Shira Greenberg di Zenity ha sintetizzato così: “L’utente apre un documento pensando di leggere un report, ma in realtà ha appena firmato l’accesso alla cassaforte digitale”.
L’esfiltrazione avviene tramite tecniche sofisticate: il prompt malevolo ordina al modello di cercare chiavi API, credenziali, file sensibili e di inserirle in comandi apparentemente innocui, come un blocco Markdown per visualizzare un’immagine remota. L’URL generato contiene dati codificati che vengono inviati a un server esterno controllato dall’attaccante. Nessun clic, nessun avviso, solo il silenzioso trasferimento di informazioni critiche. Alcuni analisti l’hanno definito “l’evoluzione dei macro-virus nei PDF, ma senza l’interazione umana”. Il concetto di zero-click diventa qui realtà concreta.
Il problema non è solo tecnico, ma culturale. Gli LLM elaborano tutto ciò che ricevono come input, senza un filtro umano. Questo significa che documenti digitali apparentemente banali possono diventare vettori di attacco sofisticati. OpenAI ha corretto questa vulnerabilità, ma la lezione rimane: ogni documento esterno deve essere trattato come potenzialmente ostile. “Il confine tra documento innocuo e arma digitale è sempre più sottile. La consapevolezza diventa la nuova antivirus.”
Per mitigare il rischio, le strategie sono diverse. Attivare 2FA o MFA protegge l’account anche se un prompt malevolo tenta di sfruttare credenziali già memorizzate. Non caricare PDF non verificati è il principio base, ma si può andare oltre: convertire il contenuto in testo puro elimina caratteri invisibili e metadati sospetti, mentre sandbox dedicate permettono di analizzare documenti a rischio senza esporre dati reali. La sanificazione del PDF diventa una pratica obbligatoria in contesti aziendali ad alta sicurezza. Alcuni strumenti avanzati permettono di rilevare e rimuovere tag, commenti o caratteri Unicode invisibili, riducendo drasticamente la superficie d’attacco.
La prompt injection via PDF evidenzia un fenomeno più ampio: la fusione tra ingegneria sociale digitale e capacità computazionale degli LLM. Gli attacchi non hanno bisogno di exploit tradizionali, ma sfruttano la logica stessa del modello. Anche micro dettagli come spazi, colori o caratteri invisibili possono diventare strumenti di esfiltrazione. Gli specialisti di cybersecurity hanno iniziato a parlare di “data poisoning intelligente”, perché l’attaccante non modifica il modello, ma manipola i dati in ingresso. La sicurezza dei connettori diventa cruciale, così come la consapevolezza degli utenti: ogni file esterno caricato in un LLM deve essere trattato con sospetto metodico.
Curiosamente, questa vulnerabilità richiama i vecchi macro-virus, ma con una sofisticazione degna del XXI secolo. Nessun popup, nessuna richiesta di conferma: tutto avviene all’interno di un processo che l’utente percepisce come normale. L’LLM diventa involontariamente complice, una metafora inquietante di quanto la tecnologia potente possa ribaltarsi contro chi la usa senza precauzioni. La sicurezza oggi non è più solo software, ma governance dei dati, educazione digitale e strategie operative integrate. Ignorare questi aspetti significa aprire la porta a attacchi invisibili, silenziosi e potenzialmente devastanti.
Massimiliano Graziani di Cybera srl commenta la questione con una lucidità da veterano del settore:
“L’inserimento di codice malevolo nei PDF non è una novità, anzi, è una tecnica consolidata da anni. Il caso di Hacking Team che usava PDF inviati via email per infettare dispositivi iOS ne è un esempio lampante. Il problema non è tanto la tecnica in sé, ma la difficoltà di rilevarla: un PDF malevolo può sembrare perfettamente innocuo all’occhio umano e agli antivirus tradizionali, rendendo la vulnerabilità quasi invisibile.”
Graziani sottolinea inoltre come dietro queste operazioni ci sia un vero e proprio mercato:
“Dietro ogni exploit zero-day c’è un business che muove milioni. Non si tratta di attacchi sporadici, ma di una vera e propria economia sommersa delle vulnerabilità, dove chi scopre il bug può venderlo a chiunque abbia budget per strumenti di sorveglianza sofisticati.”
Il punto cruciale secondo Graziani è l’illusione di sicurezza che molti utenti hanno nei confronti dei documenti PDF:
“Si pensa a PDF come a un formato statico e sicuro, ma è in realtà una porta d’ingresso sottile e silenziosa per malware sofisticati. La sicurezza dei sistemi non può più basarsi solo su firewall o antivirus, serve una cultura del rischio e strumenti di analisi avanzati, soprattutto in contesti aziendali e governativi.”