A volte le minacce informatiche più insidiose non arrivano da malware sofisticati o attacchi informatici da manuale, ma si nascondono in qualcosa di apparentemente innocuo come un invito su Google Calendar. È esattamente quello che hanno dimostrato i ricercatori di Miggo Security, una piattaforma specializzata in Application Detection & Response, portando alla luce una vulnerabilità preoccupante nell’integrazione tra Google Gemini e i servizi dell’ecosistema Google. Il meccanismo è semplice: un aggressore può inviare un invito a un evento di calendario contenente istruzioni nascoste, scritte in linguaggio naturale, che l’intelligenza artificiale di Gemini interpreta come comandi legittimi. Quando la vittima, ignara di tutto, chiede al chatbot di controllare il proprio programma giornaliero con una domanda di routine tipo “Qual è il mio programma oggi?”, Gemini elabora tutti gli eventi rilevanti, incluso quello malevolo, ed esegue le istruzioni camuffate nella descrizione.
L’attacco sfrutta quella che in gergo tecnico viene definita “indirect prompt injection”, una forma di manipolazione che aggira le protezioni standard senza richiedere alcuna azione esplicita da parte dell’utente. Niente link da cliccare, nessuna autorizzazione da concedere: è un attacco praticamente invisibile, che si attiva semplicemente ponendo una domanda all’assistente AI. Questo lo rende particolarmente pericoloso in contesti aziendali, dove le informazioni sensibili abbondano e i calendari condivisi sono la norma. La dinamica dell’exploit si articola in tre fasi. Prima c’è il payload, l’innesco: l’attaccante crea un evento di calendario con una descrizione che contiene prompt accuratamente costruiti. Queste istruzioni chiedono a Gemini di riassumere tutti i meeting privati di un giorno specifico, creare un nuovo evento con quel riassunto inserito nella descrizione e rispondere all’utente con un messaggio apparentemente innocuo, tipo “È un orario libero”. Poi arriva il trigger: la vittima interroga Gemini sul proprio calendario, e l’AI processa tutti gli eventi, compreso quello contenente le istruzioni nascoste.
Infine c’è il leak, la fuga di dati: il nuovo evento creato da Gemini, contenente il riassunto delle riunioni private, diventa visibile all’attaccante, soprattutto in configurazioni enterprise dove i calendari sono condivisi tra colleghi. Google utilizza un modello isolato progettato per rilevare prompt malevoli, ma i ricercatori di Miggo hanno dimostrato che questo sistema di difesa può essere eluso. Il problema sta nel fatto che le istruzioni appaiono sintatticamente innocue, pur essendo semanticamente dannose. L’intelligenza artificiale, insomma, non riesce a distinguere tra una descrizione legittima e un comando mascherato, perché entrambi utilizzano lo stesso linguaggio naturale. Non si tratta di una novità assoluta nel panorama delle vulnerabilità AI. Già nell’agosto del 2025, i ricercatori di SafeBreach avevano mostrato exploit simili sfruttando i titoli degli eventi per controllare gli agenti Gemini. Nonostante i fix implementati da Google in seguito a quella scoperta, Miggo ha dimostrato che persistono debolezze nel meccanismo di ragionamento dell’intelligenza artificiale, debolezze che possono essere sfruttate con approcci diversi.
Dopo che Miggo ha comunicato i dettagli della vulnerabilità a Google, l’azienda di Mountain View ha implementato mitigazioni aggiuntive per proteggere gli utenti. Un portavoce di Google ha confermato l’adozione di una strategia di sicurezza multilayered, che include la richiesta di conferma da parte dell’utente per la creazione di eventi da parte di Gemini, prevenendo così esfiltrazioni automatiche di dati. “I contributi della comunità di ricerca aiutano a rafforzare le protezioni“, ha dichiarato il portavoce, apprezzando il lavoro svolto dai ricercatori di Miggo Security. Va sottolineato che, al momento della scoperta, non sono emerse evidenze di abusi reali o di sfruttamento della vulnerabilità da parte di cybercriminali. Tuttavia, l’incidente solleva questioni fondamentali sulla sicurezza delle applicazioni che integrano intelligenza artificiale. La superficie d’attacco si è estesa ben oltre il codice tradizionale: ora le vulnerabilità possono annidarsi nel linguaggio naturale stesso, in quella capacità di comprensione e interpretazione che è al tempo stesso il punto di forza e il tallone d’Achille degli assistenti AI.
Miggo Security raccomanda l’implementazione di difese sensibili al contesto, che vadano oltre le tradizionali misure di rilevamento basate su pattern sintattici. Serve una comprensione semantica più profonda, capace di valutare non solo come una frase è scritta, ma quale sia la sua reale intenzione. È una sfida complessa, che richiede un ripensamento dei modelli di sicurezza in un’era in cui l’AI è sempre più integrata negli strumenti di lavoro quotidiano. Per gli utenti, specialmente in contesti aziendali, la lezione è chiara: anche un semplice invito a un evento può nascondere insidie. Accettare inviti da mittenti sconosciuti o sospetti non è mai stata una buona pratica, ma ora questa cautela deve estendersi anche a eventi apparentemente innocui. E mentre Google continua a rafforzare le proprie difese, resta aperta la domanda su quanto le intelligenze artificiali conversazionali possano essere manipolate attraverso il linguaggio stesso che le rende così potenti e utili.
