Prompt injection, crypto e AI: ElizaOS sotto attacco con un semplice messaggio
Un attacco di prompt injection compromette ElizaOS: basta un messaggio per dirottare fondi crypto verso l’indirizzo di un hacker.
Un attacco sorprendentemente semplice mette in luce i rischi nascosti nell’uso degli agenti AI autonomi nel mondo delle criptovalute. Un gruppo di ricercatori di Princeton ha dimostrato come sia possibile manipolare ElizaOS, un framework open source pensato per far interagire agenti basati su modelli linguistici con contratti smart e portafogli crypto, inducendoli a deviare fondi semplicemente scrivendo un messaggio ben congegnato.
L’exploit contro ElizaOS
Nato con il nome Ai16z e rinominato ElizaOS a gennaio, questo sistema è ancora sperimentale ma promette di trasformare il modo in cui gli utenti interagiscono con le DAO, le organizzazioni decentralizzate basate su blockchain. L’agente AI può connettersi a piattaforme social e accettare istruzioni da utenti o operatori esterni per eseguire transazioni, secondo regole preimpostate. Ma proprio questa flessibilità si sta rivelando il suo tallone d’Achille.
I ricercatori hanno mostrato come sia possibile eseguire un attacco di “context manipulation” attraverso una prompt injection: un utente autorizzato scrive un testo che simula istruzioni di sistema, convincendo l’agente che ogni transazione debba essere inviata a un indirizzo crypto controllato dall’attaccante. ElizaOS memorizza queste conversazioni in un database esterno e non è in grado di distinguere tra istruzioni vere e falsi eventi, influenzando tutte le operazioni future.
Il problema non è ancora stato risolto?
Gli sviluppatori del framework hanno risposto affermando che sono già stati introdotti controlli di accesso più rigidi, ma il problema resta aperto, soprattutto in ambienti multiutente. Patlan, uno degli autori dello studio, avverte: “Anche quando è un amministratore a richiedere una transazione, se la memoria è stata compromessa, i fondi vanno comunque all’attaccante”.
Il caso ElizaOS sottolinea quanto sia delicato il connubio tra AI e finanza decentralizzata. Prima di affidare agli agenti AI il potere di agire in autonomia, è fondamentale implementare difese robuste contro attacchi sempre più sofisticati. Qualcosa su cui ElizaOS, per il momento, sembra ancora carente.
