Nel corso degli ultimi due anni, le aziende hanno cercato di implementare modelli linguistici di grandi dimensioni (LLM) in supporto, analisi datatistica, sviluppo e automazione interna più che mai.

Con l'aumento dell'adozione della tecnologia dell'intelligenza artificiale, una nuova tendenza sta aumentando la sua diffusione: i cybercriminali approfittano del divario tra le assunzioni sui LLM e le loro caratteristiche reali.

Nel 2025 e nel 2026, diversi fonti indipendenti hanno evidenziato la stessa tendenza: l'iniezione di prompt rimane uno dei vettori di attacco più significativi contro i sistemi LLM. Il OWASP LLM Top 10 (2025) colloca l'iniezione di prompt al primo posto (LLM01), classificandola come la categoria più critica di vulnerabilità specifiche per modelli linguistici, per la seconda edizione consecutiva. L'elenco OWASP riflette il fatto che i modelli LLM continuino a faticare nel distinguere chiaramente tra istruzioni e dati, rendendoli suscettibili a manipolazioni attraverso input artificiosi.

Rapporti Globale su Minacce di CrowdStrike del 2026 — basato su intelligence di frontiera su oltre 280 attori ostili tracciati — si documenta come i minatori di minacce abbiano iniettato promemoria dannosi in strumenti generativi sull'AI legittimi di più di 90 organizzazioni nel 2025. Usavano tali iniezioni per generare comandi che rubavano credenziali e criptovalute. Il rapporto affermava chiaramente:

"I prompt sono il nuovo malware."

Gli avversari abilitati all'AI hanno aumentato il loro volume totale di attacchi del 89% rispetto all'anno precedente, con l'iniezione di prompt che agisce sia come punto di ingresso che come moltiplicatore di forza.

Incidenti reali illustrano l'impatto operativo. Nel agosto 2024, i ricercatori all’PromptArmor hanno rivelato una vulnerabilità all’iniezione di prompt in Slack AI, che consentiva a un attaccante di esfiltrare dati da canali Slack privati a cui non aveva accesso, inclusi le chiavi API condivise in canali privati per sviluppatori, inserendo un'istruzione dannosa in un canale pubblico o incorporandola in un documento caricato.

Nel giugno 2025, i ricercatori all’Aim Security hanno rivelato EchoLeak (CVE-2025-32711, CVSS 9.3), il primo exploit all'iniezione di prompt a zero click documentato in un sistema AI produttivo, mirando a Microsoft 365 Copilot. Invitando un singolo email articolato, senza richiesta di interazione da parte dell'utente, un attaccante poteva causare che Copilot accedesse ai file interni e trasmisesse il loro contenuto a un server controllato dagli attaccanti.

Entrambe le vulnerabilità sono state corrette. Questi incidenti rafforzano l'idea che l’iniezione di prompt non sia un debole teorico ma una minaccia reale e ripetibile che le organizzazioni devono affrontare mentre distribuiscono in larghissima scala i sistemi AI.

I tecniche all’iniezione di prompt hanno subito grandi evoluzioni negli anni recenti, ora mirando ad architetture multi-agente, pipeline di generazione arricchita con informazioni (RAG), router di modelli e capacità di memoria a lungo termine.

La sfida per le aziende: Fiducia eccessiva

Le aziende implementano LLM per elaborare istruzioni, fornire sommari di informazioni e iniziare workflow automatizzati, ma è difficile per i modelli LLM:

    • Istruzioni da dati
    • Informazioni da contesto
    • Contesto da metadata
    • Intenti utente da metadata

Questo crea un'opportunità per gli aggressori per manipolare e influenzare il comportamento del modello, sia direttamente che indirettamente.

Moderno iniezione di prompt

Manipolazione intermodel

L’utilizzo dei modelli LLM è una pratica comune tra le aziende. Gli aggressori corrompono l’output di un certo modello, sapendo bene che altri modelli elaboreranno tale informazione. Di conseguenza, la corruzione si propaga a tutti i sistemi basati sull'AI.

Poisoning della catena di fornitura RAG

Gli aggressori creano informazioni dannose — documentazione, articoli di blog, README di GitHub. Poi aspettano che queste informazioni dannose vengano inghiottite nei sistemi RAG della propria azienda, usando così come vettore attacco.

Hijacking degli agenti

I Agenti AI hanno raggiunto un livello dove possono inviare email, modificare l'infrastruttura in cloud, eseguire snippet codice e interagire con sistemi aziendali interni. Basta una sola istruzione per far agire gli agenti in modo dannoso.

Attacchi di eccedenza di contesto

Con milioni di token nei finestre del contesto, gli aggressori inseriscono codice dannoso all'interno di un documento e pregano che un modello LLM lo incontri e lo esegua, sovrascrivendo così tutte le precedenti istruzioni.

Avvelenamento della memoria

Dovuto all'implementazione della memoria a lungo termine nei modelli LLM, gli aggressori possono iniettare istruzioni che riconfigurano permanentemente lo stato del modello.

Manipolazione dei router di modelli

Le aziende utilizzano sempre più i router di modelli per scegliere tra diversi modelli LLM. Gli aggressori strutturano prompt che forzano l'invio verso il modello meno protetto o la sua versione meno controllata.

Perché è importante per i dirigenti aziendali

L'iniezione di prompt non è solo un problema teorico, impatta direttamente:

    • Sistemi rivolti al cliente (chatbot, agenti di supporto)
    • Copi di supporto interno (strumenti per sviluppatori, assistenti per la sicurezza)
    • Processi automatizzati (biglietti, operazioni in cloud, processo HR)
    • Governanza dei dati (pipeline RAG, banche dati di conoscenza)

Il rischio non si limita esclusivamente a "il modello ha detto qualcosa che non doveva."

Nel 2026, l'iniezione di prompt può:

    • Incentivare azioni non autorizzate
    • Estrarre dati sensibili
  • Rompere i fluss