https://www.pexels.com/it-it/foto/smartphone-sporco-segno-internet-16564261/ (foto Shantanu Kumar per Pexels)
ChatGPT: OpenAI corregge una falla legata a Gmail
Radware scopre una falla nello strumento Deep Research che avrebbe potuto esporre i dati degli utenti collegati a Gmail. Nessun attacco rilevato, ma l’incidente rilancia il dibattito sulla sicurezza online e sull’uso responsabile dell’intelligenza artificiale.
Una vulnerabilità informatica che avrebbe potuto mettere a rischio milioni di utenti, ma scoperta e risolta in tempo. OpenAI ha corretto un difetto di sicurezza nello strumento Deep Research di ChatGPT, capace di accedere ai dati di Gmail. La segnalazione è arrivata dai ricercatori di Radware, che hanno individuato la falla e l’hanno documentata prima che potesse essere sfruttata da attori malevoli.
La scoperta della vulnerabilità
Secondo Bloomberg, la vulnerabilità è stata rilevata dai ricercatori di Radware, che il 3 settembre hanno notificato a OpenAI la falla. Poche ore dopo l’azienda ha rilasciato una correzione. Il problema riguardava tutti gli utenti connessi a ChatGPT tramite un account Google, sia personale sia aziendale.
Il test dei ricercatori ha mostrato che bastava inviare un’e-mail contenente istruzioni nascoste all’agente di intelligenza artificiale: questo era in grado di estrarre e inoltrare dati sensibili a un server controllato dagli stessi ricercatori.
Nessun click, massima esposizione
“La vittima non doveva compiere alcuna azione, nemmeno cliccare su un link, per subire il furto di dati”, ha dichiarato Pascal Geenens, direttore della ricerca di Radware. Uno scenario particolarmente critico se si considera l’uso di Gmail in contesti aziendali:
“Se un account aziendale venisse compromesso, la compagnia per cui lavora non saprebbe nemmeno che le informazioni sono state trasferite”.
Nonostante il rischio potenziale, Radware ha confermato che la vulnerabilità non è stata sfruttata da hacker, e che la risposta di OpenAI è stata rapida.
Cos’è Deep Research e perché è sensibile
Deep Research è uno strumento sperimentale di OpenAI progettato per effettuare ricerche approfondite in rete e produrre report dettagliati per gli utenti. Tra le sue funzioni, c’è anche la possibilità di connettersi a Gmail per incrociare informazioni personali e professionali. Un livello di accesso che, in caso di vulnerabilità, moltiplica i rischi per la privacy.
Non solo OpenAI: anche altre aziende, tra cui Google e Perplexity, hanno lanciato moduli simili, capaci di combinare ricerche esterne e dati privati.
Sicurezza online: il ruolo dell’utente
Se in questo caso la vulnerabilità è stata risolta senza conseguenze, l’episodio rilancia il tema della sicurezza digitale. Gli esperti ricordano che l’uso di strumenti basati su intelligenza artificiale e collegati ad account personali richiede prudenza e consapevolezza.
Alcune buone pratiche includono:
- attivare l’autenticazione a due fattori per Gmail e altri servizi collegati;
- monitorare accessi e attività insolite;
- non autorizzare applicazioni o agenti AI non strettamente necessari;
- aggiornare sempre i software e leggere attentamente le informative sulla privacy.
Tra innovazione e responsabilità
La corsa all’integrazione tra intelligenza artificiale e dati personali apre grandi possibilità, ma anche nuovi scenari di rischio. La velocità con cui OpenAI ha corretto la falla in Chatgpt dimostra l’importanza della collaborazione tra aziende e ricercatori di cybersicurezza. Allo stesso tempo, rimane centrale il ruolo dell’utente, chiamato a proteggere i propri dati con strumenti e comportamenti adeguati.
