L’adozione massiccia dell’intelligenza artificiale nei dispositivi personali e nelle piattaforme social sta creando nuove superfici di attacco che fino a pochi anni fa non esistevano. Due casi emersi tra il 2 e il 3 giugno 2026 mostrano chiaramente questa trasformazione. Da una parte SafeBreach Labs ha rivelato una sofisticata tecnica di prompt injection capace di manipolare Gemini Voice Assistant attraverso semplici notifiche provenienti da applicazioni di messaggistica. Dall’altra, diversi utenti di Instagram hanno denunciato il furto dei propri account attraverso l’abuso di Meta AI e dei sistemi automatizzati di recupero identità. Le due vicende riguardano ecosistemi differenti ma condividono una stessa caratteristica: gli aggressori non sfruttano vulnerabilità tradizionali del sistema operativo o del browser, bensì il modo in cui gli algoritmi interpretano informazioni, contesti e verifiche di autenticazione. Il risultato è un nuovo scenario in cui gli assistenti AI e i sistemi automatizzati diventano bersagli strategici per il cybercrime.
Cosa leggere
SafeBreach dimostra un nuovo attacco contro Gemini Voice Assistant
I ricercatori di SafeBreach Labs hanno individuato una vulnerabilità che interessa Gemini Voice Assistant e che sfrutta notifiche provenienti da applicazioni considerate affidabili. Messaggi ricevuti tramite WhatsApp, Signal, Slack, Messenger, Instagram o semplici SMS possono essere trasformati in vettori di attacco capaci di influenzare il comportamento dell’assistente. La ricerca mostra come l’aggressore possa inserire istruzioni nascoste all’interno del contesto elaborato da Gemini, inducendo il sistema a prendere decisioni che l’utente non ha mai realmente autorizzato.
Il problema nasce dal fatto che l’assistente integra automaticamente le informazioni provenienti dalle notifiche nel proprio contesto operativo. Ciò che dovrebbe migliorare l’esperienza utente diventa così una potenziale porta d’ingresso per manipolare il modello linguistico. SafeBreach dimostra che l’attacco può avvenire senza compromettere direttamente il dispositivo e senza richiedere privilegi elevati. Basta un messaggio accuratamente costruito e ricevuto da una fonte apparentemente legittima per iniziare a influenzare il comportamento dell’assistente vocale.
Fake Context Alignment aggira le difese introdotte da Google
La tecnica sviluppata dai ricercatori prende il nome di Fake Context Alignment e rappresenta un’evoluzione delle tradizionali strategie di prompt injection. Google aveva già implementato diverse mitigazioni dopo segnalazioni precedenti ricevute nel 2025, ma SafeBreach dimostra che queste protezioni possono essere aggirate attraverso approcci più sofisticati. Una delle varianti più efficaci utilizza contenuti nascosti in lingue differenti da quella dell’utente. Gemini pronuncia una richiesta apparentemente innocua mentre associa la risposta vocale dell’utente a istruzioni malevole inserite nel contesto interno. In altri scenari il payload viene nascosto in collegamenti o elementi visualizzati ma non letti ad alta voce. La vittima ascolta soltanto la parte innocua della conversazione e fornisce inconsapevolmente una conferma che il sistema interpreta come autorizzazione per operazioni differenti. SafeBreach evidenzia che il modello continua a trattare informazioni visibili e informazioni contestuali come un unico blocco logico, creando condizioni favorevoli all’allineamento fraudolento del contesto.
Le notifiche diventano vettori di compromissione invisibili
Uno degli aspetti più inquietanti della ricerca riguarda il ruolo delle notifiche. Tradizionalmente considerate semplici strumenti informativi, diventano ora canali capaci di trasportare istruzioni che influenzano direttamente il comportamento di un assistente AI. Gli utenti tendono a fidarsi delle notifiche provenienti da contatti conosciuti e da applicazioni utilizzate quotidianamente.
Questa fiducia viene sfruttata dagli attaccanti per introdurre contenuti malevoli senza destare sospetti. Gemini Voice Assistant interpreta tali informazioni come parte del contesto dell’utente e le utilizza per costruire le proprie risposte. Il risultato è un attacco che opera in modo silenzioso e che difficilmente può essere individuato attraverso gli strumenti di sicurezza tradizionali. Non viene installato alcun malware, non vengono sfruttate vulnerabilità di memoria e non viene compromesso direttamente il sistema operativo. L’aggressore utilizza esclusivamente il comportamento previsto del modello per ottenere risultati inattesi.
Gemini può essere indotto a controllare dispositivi e servizi
Le conseguenze dell’attacco non si limitano alla manipolazione delle risposte testuali. SafeBreach dimostra che Gemini può essere spinto a interagire con strumenti e servizi collegati all’ecosistema Google. Gli aggressori possono indurre l’assistente ad aprire URL, avviare azioni su Google Home, interagire con dispositivi smart e modificare informazioni memorizzate nel contesto persistente. In alcuni scenari è possibile programmare attività ricorrenti o attivare funzioni che coinvolgono più dispositivi collegati allo stesso account. La pericolosità deriva dal fatto che l’utente continua a percepire l’interazione come normale. Una semplice risposta come “sì”, “ok” o “grazie” può essere reinterpretata dal sistema come conferma di un’azione diversa da quella compresa dalla vittima. Questo meccanismo trasforma le interazioni vocali quotidiane in potenziali strumenti di compromissione, soprattutto quando l’utente si trova in situazioni nelle quali non presta piena attenzione al contenuto delle richieste dell’assistente.
Meta AI finisce al centro dei furti di account Instagram
Parallelamente alla scoperta di SafeBreach, emerge una seconda vicenda che coinvolge Meta AI e il sistema di recupero degli account Instagram. Secondo diversi casi documentati, gli attaccanti stanno sfruttando procedure automatizzate per ottenere il controllo di profili personali e professionali senza conoscere preventivamente la password. L’obiettivo principale consiste nel modificare l’indirizzo email associato all’account e completare successivamente il reset delle credenziali.
Gli aggressori avviano la procedura di recupero sostenendo di essere i legittimi proprietari del profilo e sfruttano le verifiche automatizzate per convincere il sistema della propria identità. Una volta modificata l’email, il controllo dell’account viene trasferito completamente all’attaccante. Le vittime perdono accesso ai propri dati e si trovano spesso impossibilitate a recuperare il profilo attraverso i canali di supporto disponibili.
I video generati dall’AI superano la verifica facciale
Il cuore dell’attacco risiede nell’utilizzo di strumenti di intelligenza artificiale generativa per aggirare la verifica biometrica. Gli aggressori raccolgono immagini pubbliche della vittima e le trasformano in brevi video animati attraverso software AI disponibili sul mercato. Quando Instagram richiede una verifica tramite selfie video, il materiale generato artificialmente viene presentato come prova dell’identità dell’utente. Secondo le testimonianze raccolte, il sistema automatizzato accetta questi contenuti e autorizza la modifica delle informazioni dell’account.
Questo passaggio evidenzia una debolezza significativa nei processi di autenticazione basati esclusivamente sull’analisi automatica delle immagini. Ciò che fino a pochi anni fa richiedeva sofisticate tecniche di falsificazione può oggi essere realizzato attraverso piattaforme AI accessibili anche ad attori poco esperti. L’attacco dimostra come la crescente qualità dei contenuti sintetici stia mettendo sotto pressione molti sistemi di verifica biometrica progettati prima dell’esplosione dell’AI generativa.
Il supporto automatizzato lascia le vittime senza assistenza
Le conseguenze per gli utenti colpiti risultano particolarmente gravi a causa dell’elevato livello di automazione presente nei sistemi di assistenza. Molte vittime riferiscono di essere rimaste intrappolate in procedure gestite esclusivamente da chatbot e moduli automatici. Una volta perso il controllo dell’account, diventa estremamente difficile ottenere l’intervento di un operatore umano in grado di verificare la situazione e ripristinare l’accesso. Questo problema amplifica enormemente l’impatto dell’attacco. Profili personali, account aziendali e pagine utilizzate per attività professionali possono restare bloccati per settimane. In alcuni casi il valore economico degli account compromessi è particolarmente elevato, soprattutto quando si tratta di nomi utente rari o profili con una lunga storia e un seguito significativo. La mancanza di percorsi di escalation umana trasforma quindi una vulnerabilità tecnica in una crisi operativa e reputazionale.
Gemini e Meta mostrano lo stesso problema strutturale
Sebbene le due vulnerabilità coinvolgano piattaforme differenti, entrambe evidenziano una debolezza comune. I sistemi AI vengono progettati per fidarsi di determinati input e per automatizzare processi che in passato richiedevano intervento umano. Nel caso di Gemini, il sistema si fida delle notifiche e del contesto costruito attorno all’utente. Nel caso di Meta AI, il sistema si fida delle verifiche biometriche e delle procedure automatizzate di recupero account. Gli aggressori non attaccano direttamente l’infrastruttura, ma manipolano i meccanismi di fiducia incorporati nell’algoritmo. Questo rende il problema molto più complesso da risolvere rispetto a una vulnerabilità tradizionale. Non basta correggere una funzione software o applicare una patch. Occorre ripensare il modo in cui gli assistenti AI distinguono dati affidabili da dati ostili e il modo in cui i sistemi di autenticazione valutano prove di identità generate artificialmente.
L’intelligenza artificiale amplia il perimetro delle minacce
Le ricerche pubblicate tra il 2 e il 3 giugno 2026 confermano che l’intelligenza artificiale sta diventando un elemento centrale sia dell’innovazione sia del rischio informatico. Assistenti vocali, chatbot di supporto, sistemi di verifica biometrica e strumenti di recupero account sono ormai parte integrante della vita digitale di milioni di persone. Ogni nuova integrazione amplia però il perimetro delle minacce e crea opportunità per attacchi che sfruttano direttamente il comportamento dei modelli AI. Google e Meta si trovano oggi davanti alla stessa sfida: continuare a rendere i propri sistemi più intelligenti senza permettere che la fiducia accordata agli algoritmi si trasformi in un vantaggio per gli aggressori. Le vulnerabilità emerse dimostrano che la sicurezza dell’AI non riguarda più soltanto la protezione dei modelli, ma la capacità di controllare ogni informazione che contribuisce a costruire il contesto decisionale dell’intelligenza artificiale. In questo nuovo scenario, la distinzione tra attacco informatico e manipolazione cognitiva diventa sempre più sottile.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
