Di Vincent Baubonis
Uno sviluppatore junior di una startup fintech in rapida crescita, in corsa per rispettare la scadenza del lancio, ha copiato una chiave API in un repository GitHub pubblico. Nel giro di poche ore, la chiave è stata recuperata, raggruppata con altre e scambiata su Discord con una fitta rete di avventurieri digitali. Quando il CTO dell’azienda si accorse dell’aumento di utilizzo, il danno era ormai fatto: migliaia di dollari in costi di elaborazione LLM e una quantità di dati aziendali riservati potenzialmente esposti al mondo intero.
Non sto facendo ipotesi. È un insieme di ciò che è accaduto ripetutamente nella prima metà del 2025.
A gennaio, il mondo dell’intelligenza artificiale è stato scosso da violazioni che sembrano più un nuovo genere di cyberattacco che il vecchio “ops, qualcuno ha lasciato un database aperto”. DeepSeek, un nuovo e chiacchierato LLM cinese, ha subito il furto delle chiavi e due miliardi di token sono spariti nell’etere, utilizzati dagli aggressori per chissà cosa.
Poche settimane dopo, OmniGPT , un aggregatore di chatbot basati su intelligenza artificiale ampiamente utilizzato che collega gli utenti a più LLM, ha subito una grave violazione, esponendo al pubblico oltre 34 milioni di messaggi utente e migliaia di chiavi API.
Se affidi i tuoi dati a queste macchine, ora le vedi tradire quella fiducia in tempo reale.
La nuova strategia: rubare la mente, non solo i dati
Per anni, ci siamo preoccupati che gli hacker rubassero file o trattenessero dati a scopo di estorsione. Ma il dirottamento di LLM è qualcosa di diverso: qualcosa di più strano e insidioso. Gli aggressori sono alla ricerca proprio dei “cervelli” che alimentano le tue app, la tua ricerca, la tua attività.
Stanno scansionando GitHub, scansionando configurazioni cloud e persino rovistando nei canali Slack alla ricerca di chiavi API esposte. Una volta trovata, possono creare reti ombra, rivendere l’accesso, estrarre ulteriori informazioni per lo spostamento laterale o semplicemente accumulare fatture di servizio che farebbero impazzire qualsiasi CFO.
Prendiamo il caso DeepSeek, in cui gli aggressori hanno utilizzato proxy inversi per coprire le proprie tracce, consentendo a decine di malintenzionati di sfruttare le stesse chiavi rubate senza essere scoperti. Il risultato? Potreste svegliarvi con una fattura salatissima per l’utilizzo non autorizzato dell’intelligenza artificiale e l’incubo che i vostri dati privati, personali o professionali, vengano divulgati su Internet.
Ma la trama si infittisce con la fuga di informazioni dai prompt di sistema. I prompt di sistema, ovvero gli script segreti che indicano a un GPT come comportarsi, dovrebbero essere nascosti agli utenti finali. Ma con il prompt giusto, gli aggressori possono indurre i modelli a rivelare queste istruzioni, esponendo la logica, le regole e a volte persino informazioni estremamente sensibili che tengono sotto controllo la tua IA. Improvvisamente, l’IA che pensavi di capire sta giocando secondo le regole di qualcun altro.
Perché questo dovrebbe spaventarci tutti
Stiamo integrando gli LLM in tutto, ovunque, contemporaneamente. Nei robot del servizio clienti, nell’assistenza sanitaria, nella ricerca legale, persino nei sistemi che scrivono il nostro codice. Con ogni nuova integrazione, la superficie di attacco aumenta. Ma la nostra cultura della sicurezza potrebbe essere ancora bloccata ai tempi di password123.
Nel frattempo, il mercato nero degli exploit LLM sta esplodendo. Le chiavi rubate vengono scambiate su Discord come figurine da baseball. Gli strumenti di fuga di notizie tempestiva stanno diventando più sofisticati. Gli hacker stanno correndo a perdifiato. E più autonomia diamo a questi modelli, più danni può causare una violazione. Siamo in una battaglia per il controllo, la fiducia e la natura stessa dell’automazione.
Ci stiamo muovendo troppo velocemente per il nostro bene?
Pensare all’IA come “solo un altro strumento” è un errore. Non si possono semplicemente collegare questi sistemi e sperare di implementare la sicurezza in un secondo momento, perché gli LLM non sono fogli di calcolo o file server prevedibili. Sono dinamici e sempre più autonomi, a volte prendendo decisioni in modi che nemmeno i loro creatori riescono a spiegare appieno.
Eppure, nella fretta di cavalcare l’onda della corsa all’oro dell’intelligenza artificiale, la maggior parte delle organizzazioni sta scommettendo il proprio futuro su sistemi che a malapena capiscono, figuriamoci come difenderli. La sicurezza è stata trascurata, e il costo di questa scommessa non fa che aumentare man mano che gli LLM si integrano sempre più in ogni ambito, dalle operazioni aziendali alla sanità e alla finanza.
Se non cambiamo rotta, andremo incontro a una resa dei conti: perdita di denaro e, soprattutto, di fiducia. La prossima fase dell’adozione dell’IA dipenderà dalla convinzione delle persone che questi sistemi siano sicuri, affidabili e degni del potere che stiamo loro affidando. Se continuiamo a trattare gli LLM come scatole nere, stiamo andando incontro al disastro.
Cosa dovrebbe cambiare, idealmente, ieri
Quindi, cosa facciamo? Ecco la mia opinione:
- Tratta le chiavi API come il plutonio. Ruotale, limitane l’ambito e tienile fuori dal tuo codice sorgente, dalle chat e dai log. Se continui a incollare le chiavi in Slack, stai cercando guai
- Tieni tutto sotto controllo. Imposta il monitoraggio in tempo reale per l’utilizzo di LLM. Se la tua IA inizia a produrre token inaspettatamente alle 3 del mattino, vuoi saperlo prima che la tua bolletta del cloud salga alle stelle
- Non fidarti dei limiti integrati nel modello. Aggiungi i tuoi livelli: filtra gli input utente e gli output di sistema, e dai sempre per scontato che qualcuno cercherà di ingannare la tua IA se esposta all’input dell’utente
- Crea il tuo team di sviluppo per le soluzioni di intelligenza artificiale. Cerca di romperle prima che lo faccia qualcun altro
- Implementa la segregazione attraverso controlli di accesso. Non lasciare che il tuo chatbot abbia le chiavi di tutto il tuo regno
E sì, alcuni vendor stanno iniziando a prendere sul serio queste minacce. Piattaforme come Nexos.ai offrono monitoraggio centralizzato e protezioni per le attività di LLM, mentre WhyLabs e Lasso Security stanno sviluppando strumenti per rilevare l’iniezione tempestiva e modellare le minacce emergenti. Nessuna di queste soluzioni è perfetta, ma insieme segnalano un passaggio necessario verso l’integrazione di una vera sicurezza nell’ecosistema dell’IA generativa.
Il cervello della tua IA è in palio, se non reagisci
È ora di riconoscere che il dirottamento di LLM e la fuga di dati dai prompt di sistema non sono fantascienza. Queste cose stanno accadendo proprio ora e la prossima violazione potrebbe essere la tua. L’intelligenza artificiale è il nuovo cervello della tua azienda e, se non la proteggi, qualcun altro se ne approprierà.
Ho visto abbastanza per sapere che la “speranza” non è una strategia di sicurezza. Il futuro dell’IA sembra luminoso, ma solo se prendiamo sul serio il suo lato oscuro ora, prima che la prossima violazione trasformi il tuo ottimismo in rimpianto.
