Negli ultimi due anni le aziende hanno integrato i modelli linguistici di grandi dimensioni (LLM) in assistenza clienti, analisi, sviluppo software e automazione interna a un ritmo senza precedenti. Tuttavia, questa adozione massiccia ha aperto la strada a una minaccia crescente: il prompt injection. Secondo il Global Threat Report 2026 di CrowdStrike, basato sull'intelligence di oltre 280 avversari tracciati, nel 2025 gli attaccanti hanno iniettato prompt malevoli in strumenti di intelligenza artificiale generativa legittimi in più di 90 organizzazioni, rubando credenziali e criptovalute. Il rapporto è chiaro: i prompt sono il nuovo malware. Il volume complessivo degli attacchi abilitati dall'IA è aumentato dell'89% su base annua, con il prompt injection che funge sia da punto d'ingresso che da moltiplicatore di forze.
OWASP conferma prompt injection come vulnerabilità LLM più critica
La classifica OWASP LLM Top 10 del 2025, giunta alla seconda edizione consecutiva, posiziona il prompt injection come la categoria di vulnerabilità più critica per i sistemi basati su LLM (LLM01). Questo riflette il fatto che i modelli faticano ancora a separare in modo affidabile le istruzioni dai dati, rendendoli suscettibili a manipolazioni attraverso input appositamente costruiti. Il problema non è teorico: attacchi reali hanno dimostrato l'impatto operativo. Nell'agosto 2024, i ricercatori di PromptArmor hanno divulgato una vulnerabilità di prompt injection in Slack AI che permetteva a un aggressore di esfiltrare dati da canali Slack privati, comprese chiavi API condivise in canali di sviluppatori, semplicemente inserendo un'istruzione malevola in un canale pubblico o in un documento caricato. Nel giugno 2025, i ricercatori di Aim Security hanno reso noto EchoLeak (CVE-2025-32711, CVSS 9.3), il primo exploit di prompt injection zero-click documentato contro un sistema AI di produzione, prendendo di mira Microsoft 365 Copilot. Con una singola email costruita ad arte, senza alcuna interazione dell'utente, l'attaccante poteva indurre Copilot ad accedere a file interni e trasmetterne il contenuto a un server sotto il suo controllo. Entrambe le vulnerabilità sono state corrette, ma questi episodi sottolineano che il prompt injection è una minaccia pratica e ripetibile.
Sponsored Protocol
Le nuove frontiere dell'attacco: agenti, RAG e model router
Le tecniche di prompt injection si sono evolute, puntando ora a architetture multi-agente, pipeline di retrieval-augmented generation (RAG), model router e capacità di memoria a lungo termine. Un esempio è il RAG supply chain poisoning: gli attaccanti creano informazioni malevole (documentazione, articoli, README GitHub) e aspettano che vengano ingerite dalle pipeline RAG aziendali, trasformandole in vettori d'attacco. Un altro vettore è l'agent hijacking: gli agenti AI, in grado di inviare email, modificare infrastrutture cloud, eseguire codice e interagire con sistemi interni, possono essere dirottati con una singola istruzione. Anche il model‑router manipulation è in crescita: le aziende usano router per selezionare tra diversi LLM, e gli attaccanti costruiscono prompt che forzano l'instradamento verso il modello più debole o meno protetto. Infine, il context overflow sfrutta finestre di contesto da milioni di token per inserire codice malevolo che sovrascrive le istruzioni precedenti, mentre il memory poisoning riconfigura permanentemente lo stato dell'LLM attraverso l'iniezione in sistemi di memoria a lungo termine.
Sponsored Protocol
Perché il prompt injection riguarda ogni dirigente aziendale
Il prompt injection non è un problema limitato a dire cose inappropriate. Nel 2026 può innescare azioni non autorizzate, filtrare dati sensibili, corrompere flussi di lavoro interni, manipolare analisi, alterare logiche di business e compromettere sistemi multi-agente. Colpisce direttamente sistemi customer-facing (chatbot, assistenti), copiloti interni (strumenti per sviluppatori, assistenti di sicurezza), flussi di automazione (ticketing, operazioni cloud, HR) e la governance dei dati (pipeline RAG, knowledge base). Un aspetto critico è l'eccessiva fiducia nelle capacità di discernimento dei modelli: come evidenziato da un recente studio della Boston University, considerare l'AI un dipendente riduce del 18% la rilevazione degli errori, aumentando il rischio di attacchi sfruttati proprio da prompt injection.
Sponsored Protocol
Come difendersi: limitare permessi e segmentare contenuti
Le aziende devono adottare un approccio proattivo. Prima di tutto, limitare i permessi del modello: non solo ciò che dovrebbe fare, ma ciò che può effettivamente fare. In secondo luogo, segmentare i contenuti non fidati: trattare tutti i dati esterni, comprese le fonti RAG, come potenzialmente ostili. È essenziale monitorare l'invocazione degli strumenti e richiedere approvazione umana per azioni ad alto impatto. Validare la provenienza dei contenuti per evitare che pipeline RAG assorbano informazioni avvelenate. Rafforzare i model router per impedire agli attaccanti di forzare il routing verso modelli deboli. Infine, il cambiamento mentale fondamentale: trattare gli LLM come interpreti non fidati, non come decisori autonomi. Finché le organizzazioni non adotteranno questa prospettiva, il prompt injection continuerà a dominare il panorama delle minacce AI. Per approfondire le dinamiche della sicurezza AI, si può consultare la pagina Wikipedia dedicata al prompt injection.
Sponsored Protocol
