Nel panorama della sicurezza informatica, pochi attacchi hanno combinato ingegneria sociale, vulnerabilità dei modelli linguistici e astuzia tecnica come la prompt injection via PDF rivelata da Zenity a Black Hat 2025. L’evento ha confermato un sospetto che circolava tra gli addetti ai lavori: i Large Language Models (LLM) come ChatGPT sono potentissimi, ma restano vulnerabili a istruzioni nascoste che sfruttano la loro stessa logica di elaborazione. Non serve alcun click dell’utente, basta un PDF “avvelenato” e l’account è compromesso
Il meccanismo è subdolo. Il documento, apparentemente innocuo, contiene testo nascosto con colori uguali allo sfondo o dimensioni microscopiche. Quando l’utente lo carica su ChatGPT per un riassunto o una traduzione, l’LLM interpreta tutto il contenuto, compreso il prompt malevolo. Qui entrano in gioco i connettori, funzionalità che permettono al modello di interagire con Google Drive, SharePoint, GitHub e altri servizi esterni. Il prompt istruisce il modello a eseguire azioni precise, apparentemente innocue, che in realtà conducono all’esfiltrazione di dati riservati. Shira Greenberg di Zenity ha sintetizzato così: “L’utente apre un documento pensando di leggere un report, ma in realtà ha appena firmato l’accesso alla cassaforte digitale”.