Promptware, la minaccia AI che prende il controllo di smartphone e smart home

Il promptware è una nuova categoria di attacchi informatici che utilizza i modelli di intelligenza artificiale come motore di esecuzione per compiere azioni malevole su smartphone, dispositivi connessi e sistemi di smart home. Non è un virus tradizionale né un malware nel senso classico: sfrutta i prompt, cioè le istruzioni testuali con cui interagiamo ogni giorno con chatbot e assistenti AI, per manipolare il comportamento del modello e indurlo ad agire contro l'interesse dell'utente.

Alcuni ricercatori delle università di Tel Aviv, Ben-Gurion e Harvard hanno proposto di classificare il promptware come una minaccia autonoma, distinta dalla semplice prompt injection e paragonabile, per struttura e pericolosità, a ransomware o spyware. La differenza è sostanziale: qui non viene installato un software dannoso sul dispositivo, ma vengono alterate le istruzioni che l'AI interpreta e mette in pratica.

Per comprendere il rischio è necessario partire dal concetto di prompt. In ambito AI, il prompt è qualsiasi input testuale fornito a un modello linguistico per ottenere una risposta o avviare un'azione. Il prompt engineering è la pratica di formulare istruzioni precise per guidare l'AI verso un risultato specifico. Questa stessa logica può però essere sfruttata in modo malevolo: un prompt costruito ad arte può spingere l'AI a rivelare informazioni riservate, compiere azioni non autorizzate o aggirare i propri limiti di sicurezza.

Il rischio cresce con l'aumentare dell'autonomia degli assistenti AI. Oggi questi sistemi non si limitano a rispondere a domande: accedono a email, calendari, file, contatti, servizi cloud e dispositivi smart home.

Più permessi possiedono, maggiore è il potenziale danno in caso di manipolazione. Secondo i ricercatori, le minacce informatiche legate all'intelligenza artificiale di questa natura sono già considerate ad alto rischio dal National Cyber Security Centre del Regno Unito, che ha definito il prompt injection una minaccia pericolosamente sottovalutata dall'industria.

Fastweb Mobile Pro

11,95€/mese

Internet 250 GB e Minuti illimitati

Spedizione SIM GRATIS

Spedizione SIM GRATIS

scopri

Come funziona un attacco promptware

Shutterstock

Un attacco promptware segue una sequenza simile alla kill chain della sicurezza informatica tradizionale. La prima fase è l'accesso iniziale: le istruzioni malevole entrano nel contesto dell'AI tramite un prompt diretto oppure in modo indiretto, nascoste in contenuti che l'assistente analizza automaticamente, come email, documenti condivisi o eventi del calendario. Quest'ultima modalità, definita prompt injection indiretta, è particolarmente insidiosa perché non richiede alcuna azione da parte dell'utente: nessun link su cui cliccare, nessun file da aprire.

Un caso documentato da SafeBreach nel 2025 ha mostrato come istruzioni malevole inserite nella descrizione di un evento Google Calendar potessero essere interpretate da Gemini durante un riepilogo settimanale. Nei test, il modello è stato indotto a estrarre informazioni personali, modificare eventi e controllare dispositivi smart homecollegati all'account, senza che la vittima si accorgesse di nulla. I ricercatori hanno stimato che il 73% degli scenari di attacco testati su assistenti basati su Gemini ha raggiunto un livello di rischio alto o critico.

Dopo l'accesso iniziale, l'attacco può evolvere e l'AI viene spinta a rivelare dettagli sull'ambiente digitale dell'utente.

In alcuni scenari più avanzati, le istruzioni malevole possono persistere nei dati utilizzati dal modello, influenzando le interazioni future. Esistono anche varianti autoreplicanti, in cui un assistente compromesso può incorporare le stesse istruzioni dannose nei messaggi inviati ad altri utenti, propagandosi esattamente come un worm informatico tradizionale.

A differenza di attacchi come il phishing, che richiedono un'azione consapevole della vittima, il promptware sfrutta contenuti che l'AI elabora automaticamente per conto dell'utente. Questo lo rende molto più difficile da intercettare con i tradizionali strumenti di sicurezza, che non sono progettati per analizzare le istruzioni nascoste all'interno di testi apparentemente innocui.

Perché smartphone e smart home sono a rischio

Shutterstock

Smartphone e smart home rappresentano il bersaglio naturale del promptware perché sono sempre più integrati con assistenti AI dotati di ampi permessi. Su uno smartphone, un agente AI può accedere a microfono, fotocamera, contatti, messaggi e posizione. Se manipolato tramite promptware, può trasformarsi in uno strumento di sorveglianza o di esfiltrazione dati, operando in silenzio mentre l'utente usa il telefono normalmente.

Nella smart home il rischio si estende al mondo fisico.

Luci, serrature intelligenti, videocamere, termostati e sistemi di allarme possono essere controllati tramite assistenti vocali collegati all'account dell'utente. Una compromissione dell'AI potrebbe quindi tradursi nel controllo remoto di dispositivi domestici da parte di un attaccante esterno, con conseguenze che vanno ben oltre il furto di dati digitali.

Questo scenario non è teorico: le dimostrazioni dei ricercatori sono state condotte su sistemi reali, in uso da milioni di utenti. La differenza rispetto alle minacce tradizionali è che il vettore di attacco non è un file eseguibile, ma il contenuto stesso che l'AI interpreta.

Chi possiede dispositivi IoT connessi a un assistente AI dovrebbe considerare questa vulnerabilità con la stessa attenzione che riserva alla protezione della rete domestica, proprio perché, come già evidenziato nell'analisi delle minacce ai dispositivi IoT, questi sistemi sono storicamente tra i meno protetti dell'ecosistema connesso.

Come difendersi dal promptware

Shutterstock

La protezione contro il promptware si basa soprattutto sulla gestione dei permessi e sulla riduzione della superficie di attacco. Il principio del "least privilege" è centrale: concedere agli assistenti AI solo gli accessi strettamente necessari limita i danni potenziali. Se un modello non può accedere a email o dispositivi smart home, le conseguenze di un'eventuale manipolazione saranno più contenute. Rivedere periodicamente le autorizzazioni concesse alle app AI installate sullo smartphone è una delle azioni più semplici e più efficaci che un utente può compiere oggi.

È fondamentale mantenere aggiornati sistemi operativi, applicazioni e assistenti AI.

I principali sviluppatori stanno introducendo mitigazioni specifiche: Google, in risposta diretta alla ricerca di SafeBreach, ha implementato conferme esplicite per le azioni sensibili, classificatori per identificare prompt sospetti e meccanismi di sanitizzazione degli input. Aggiornare le app AI non è quindi solo una questione di nuove funzionalità, ma di protezione attiva contro una classe di attacchi in rapida evoluzione.

Attivare l'autenticazione a due fattori sugli account principali e monitorare le notifiche di accesso anomalo aggiunge un ulteriore livello di protezione. Anche la configurazione dell'autonomia dell'assistente è rilevante: richiedere conferme prima dell'esecuzione di operazioni delicate, come l'invio di messaggi o il controllo di dispositivi fisici, riduce concretamente il rischio. Infine, è utile adottare un approccio prudente verso i contenuti che l'AI analizza automaticamente, come documenti condivisi o inviti a eventi: il promptware dimostra che la sicurezza nell'era dell'intelligenza artificiale non riguarda solo ciò che installiamo, ma anche ciò che chiediamo ai nostri assistenti digitali di elaborare.

Per saperne di più: Le minacce alla sicurezza informatica con l'intelligenza artificiale

A cura di Cultur-e