Si chiama Morris II ed è un nuovo particolare tipo di malware capace di propagarsi negli ecosistemi dell’Intelligenza Artificiale Generativa (GenAI), come un verme informatico tradizionale. A differenza dei virus che necessitano di un programma ospite per replicarsi, Morris II è autonomo e sfrutta vulnerabilità nei sistemi GenAI per diffondersi e compiere azioni dannose.
Mentre i malware di vecchia generazione, come ILOVEYOU o WannaCry, si diffondevano tramite e-mail o reti infettando file eseguibili, Morris II si basa su adversarial self-replicating prompts (che in italiano potremmo tradurre come prompt dannosi autoreplicanti), ovvero istruzioni ingannevoli che vengono elaborate dai modelli GenAI. Come un cavallo di Troia, il prompt si nasconde all’interno di input all’apparenza innocui, come testi, immagini o audio, e induce il modello a replicarlo nell’output, diffondendolo ad altri sistemi.
Due sono i metodi principali atti a “moltiplicare” il malware:
• Propagazione basata su RAG: il verme infetta il database RAG (Retrieval Augmented Generation), una componente che fornisce informazioni contestuali ai modelli GenAI. Quando l’applicazione consulta il database RAG, il prompt dannoso viene recuperato e replicato, come un virus latente che si attiva all’apertura di un file infetto.
• Propagazione basata sul flusso dell’applicazione: in questi casi è l’attaccante che crea un input e, una volta elaborato dal modello GenAI, genera un output che “forza” l’applicazione a eseguire un’azione, per esempio l’invio di un messaggio o l’accesso a dati sensibili. Un metodo è simile a un attacco di ingegneria sociale, in cui l’attaccante manipola l’utente per fargli compiere azioni dannose.
Immaginiamo per esempio, un’e-mail con un’immagine che contiene un prompt dannoso autoreplicante. Il prompt forza il modello GenAI a classificare l’e-mail come “da inoltrare”, diffondendo il worm…
Il video che riassume il funzionamento di questo nuovo worm si può vedere puntando il browser su questo link.
QUALI RISCHI?
I pericoli sono concreti e possono essere inquadrati in tre differenti tipologie.
• Propagazione rapida e autonoma: sfruttando la connettività intrinseca dei sistemi GenAI, Morris II può diffondersi in modo esponenziale, come i worm di vecchia generazione che hanno infettato milioni di computer in poche ore.
• Esecuzione di azioni dannose: il worm può essere utilizzato per rubare dati, diffondere propaganda o interrompere servizi, con un impatto potenzialmente devastante.
• Difficoltà di rilevamento: i prompt dannosi autoreplicanti si nascondono all’interno di input apparentemente innocui, rendendo difficile l’identificazione e il blocco del malware.
Le contromisure per proteggere i sistemi GenAI da Morris II includono la prevenzione della replicazione, modificando i modelli affinché riformulino l’output ed evitino la riproduzione esatta di codice malevolo. Inoltre, il blocco della propagazione viene attuato attraverso sistemi di monitoraggio avanzati, capaci di rilevare pattern sospetti e bloccare messaggi dannosi in tempo reale. Ulteriori strategie includono la sandboxing delle risposte, per isolare contenuti pericolosi prima della pubblicazione, e l’uso di blacklist dinamiche per filtrare richieste con payload malevoli noti. L’integrazione di controlli di sicurezza proattivi rafforza la resilienza dei sistemi GenAI, migliorandone la sicurezza e l’affidabilità.
Il worm informatico, progettato per attaccare applicazioni basate su GenAI, è stato testato dagli sviluppatori su assistenti e-mail dotati di GenAI in due scenari d’uso (invio di spam ed esfiltrazione di dati personali), con due modalità di accesso (black-box e white-box), utilizzando due tipi di input (testo e immagini) e contro tre diversi modelli GenAI (Gemini Pro, ChatGPT 4.0 e LLaVA). Il codice sorgente è disponibile a questo indirizzo
COSA CI DOBBIAMO ASPETTARE?
La capacità di propagazione rapida e autonoma di Morris II, unita alla difficoltà di rilevamento, lo rende un avversario temibile. Come per i virus di vecchia generazione, la consapevolezza dei rischi e l’adozione di contromisure appropriate sono fondamentali per mitigare la minaccia e garantire la sicurezza degli ecosistemi GenAI.
Dal paper che abbiamo analizzato, i ricercatori prevedono che i vermi GenAI diventeranno una minaccia concreta nei prossimi due o tre anni. Questa previsione si basa sulla crescente integrazione dei modelli GenAI in diversi settori, come automobili, smartphone e sistemi operativi. Man mano che gli ecosistemi GenAI si espanderanno, la superficie di attacco per questi temibili worm aumenterà a dismisura, offrendo loro più opportunità di propagazione. I worm GenAI potrebbero evolversi per eseguire una gamma più ampia di azioni dannose, andando oltre il “semplice” furto di dati e la diffusione di propaganda. Potrebbero essere utilizzati per prendere il controllo di sistemi critici, come reti elettriche o infrastrutture di trasporto, con conseguenze catastrofiche, incluse interruzioni su larga scala e danni economici potenzialmente ingenti. Inoltre, l’integrazione dei modelli GenAI in sistemi autonomi, come veicoli a guida autonoma e robot industriali, apre la possibilità di attacchi che potrebbero mettere a rischio la sicurezza fisica delle persone, compromettendo il corretto funzionamento di dispositivi essenziali e aumentando il pericolo di incidenti o malfunzionamenti dannosi.
Leggi anche: “Il ruolo della Gen AI nella sicurezza“
The post Il worm che infetta l’IA first appeared on Hackerjournal.it.