Inviti del calendario e l’integrazione con Gmail di ChatGPT: lo schema di attacco
Il 12 settembre 2025, il ricercatore di sicurezza Eito Miyamura ha dimostrato un exploit che, si potrebbe dire, è il primo ma di certo non l’ultimo del suo genere: un Google Calendar malevolo inietta prompt in ChatGPT che, quando è collegato a Gmail, fa trapelare email private in risposta. Sì, ci sono prerequisiti specifici — bisogna stabilire la connessione tra l’IA e Gmail, e usare Google Calendar così intensamente che un invito sconosciuto possa farsi strada al suo interno — ma schemi di questo tipo tendono a evolversi in modo da ampliare la portata dell’attacco, quindi è meglio sapere esattamente cosa sta accadendo e come ci si può proteggere. Continuate a leggere per entrambi gli aspetti.
Inviti malevoli di Google Calendar: cosa c’è sotto il cofano
L’arma qui si chiama “iniezioni di prompt indirette.” Sfruttano la scrupolosità dell’IA inserendo istruzioni malevole nei dati esterni elaborati dal modello, inclusi siti web, email, inviti del calendario o documenti. Nel caso degli inviti di Google Calendar e dell’integrazione di ChatGPT con Gmail, l’IA ha preso in carico l’invito, come previsto, ed è stata indotta a cedere email (una volta connessa, ha accesso a molte cose) da comandi nascosti in quegli inviti.
Il termine “prompt injection” è stato coniato da Simon Willison nel 2022; il ricercatore ha descritto come attori malevoli potessero impartire istruzioni alle IA in modo molto simile alle iniezioni SQL. Le “iniezioni di prompt indirette,” come suggerisce il nome, nascondono tali comandi sotto uno strato di materiale dall’aspetto innocuo. Il termine stesso è attribuito a Kai Greshake e al team di NVIDIA, che nel 2025 hanno formalizzato il modello di attacco e descritto strategie di difesa contro di esso.
Come proteggerti dagli attacchi che coinvolgono iniezioni di prompt indirette?
Non ha senso cercare di astenersi del tutto dall’uso dell’intelligenza artificiale: oggi potresti riuscire a ottenere l’isolamento desiderato, ma domani i large language model saranno integrati nei servizi dal lato del fornitore e semplicemente non ci sarà modo di disconnetterli dai tuoi account. Inoltre, potresti nemmeno sapere che la connessione esiste. Dunque, cosa puoi fare per mettere al sicuro i tuoi asset?
- Vigilanza. Prima di tutto, resta vigile e non lasciare mai entrare nulla di sospetto nel tuo calendario o in altri sistemi che si appoggiano all’IA per uno scopo o per un altro.
- Ordine. Mantieni le cose in ordine. Se non ti serve davvero che ChatGPT ti aiuti con le email, disattivalo. Potresti aver provato la funzione, magari ti è anche piaciuta, ma se non c’è un caso d’uso reale — non esitare e non rimandare.
- Limiti. Già oggi le integrazioni con l’IA possono essere personalizzate per darti più controllo su cosa elabora il modello e a quali condizioni può accedere ai dati. Valuta di disabilitare tutte le routine automatiche. Sì, aggiungerà approvazioni manuali al tuo flusso, ma è più sicuro così.
- Salvaguardie esistenti. In Google Calendar, per esempio, puoi impostare l’accettazione degli inviti solo dai mittenti conosciuti. Questa è una salvaguardia; usala quando possibile.
OpenAI ha riconosciuto il problema e ha suggerito di disabilitare i connettori. L’azienda sta lavorando a difese contro tali attacchi, ma è una corsa tra scudo e spada, quindi ha senso dotarsi di una suite di sicurezza lungimirante. Trovane una qui:
