Nel suo Global Threat Report del 2026, CrowdStrike ha segnalato attacchi di prompt injection contro più di 90 organizzazioni durante il 2025. I prompt immessi generavano comandi che rubavano credenziali e criptovaluta, segnando un cambiamento significativo poiché questi prompt ora funzionano come malware.
Il rapporto ha documentato un aumento dell’89% su base annua delle operazioni degli avversari basate sull’intelligenza artificiale. Inoltre, l’82% delle intrusioni non coinvolgeva alcun codice dannoso tradizionale, ma si è verificato quando le aziende sono passate all’utilizzo di agenti, copiloti e automazioni del browser che accedono a e-mail, codice, pagamenti e condivisione di file.
Prompt injection ha mantenuto la sua prima posizione come LLM01 nella Top 10 OWASP per applicazioni di modelli linguistici di grandi dimensioni per due edizioni consecutive. OWASP ha evidenziato che i modelli linguistici non sono in grado di distinguere in modo affidabile le istruzioni dello sviluppatore dal testo non attendibile, trasformando quella che una volta era una curiosità di ricerca in una vulnerabilità operativa.
L’inserimento diretto del prompt avviene quando un utente digita istruzioni per sovrascrivere un prompt del sistema, mentre l’inserimento indiretto del prompt avviene quando un utente malintenzionato incorpora istruzioni all’interno del contenuto che il modello legge successivamente, come e-mail o documenti. L’utente non vede il payload e l’agente esegue i comandi dannosi senza interazione.
Due incidenti degni di nota fanno luce sulla gravità di queste vulnerabilità. Nell’agosto 2024, PromptArmor ha rivelato che un utente malintenzionato basato sull’intelligenza artificiale di Slack poteva esfiltrare dati da canali privati inserendo istruzioni in canali pubblici o file caricati. L’anno successivo, Aim Security ha segnalato EchoLeak (CVE-2025-32711), in cui un’e-mail creata indicava a Microsoft 365 Copilot di recuperare file interni e inviarli a un server controllato dall’aggressore, ottenendo un punteggio CVSS di 9,3. Entrambe le vulnerabilità sono state corrette, ma la classe di attacchi rimane irrisolta.
L’area superficiale della vulnerabilità si è ampliata per includere uno stack di agenti più ampio, in cui gli agenti che eseguono vari compiti trattano il loro contesto come autorevole. Questo sviluppo significa che la memoria dell’agente a lungo termine può conservare ed eseguire ripetutamente istruzioni dannose.
OpenAI ha riconosciuto nel dicembre 2025 che è improbabile che la pronta iniezione venga completamente risolta, spesso paragonandola all’ingegneria sociale. La scheda di sistema Claude Opus 4.6 di Anthropic indicava una percentuale di successo del 17,8% per un singolo tentativo di iniezione tempestiva, che aumentava al 78,6% su 200 tentativi senza protezioni in atto. Google ha riportato un tasso di successo del 53,6% per l’iniezione tempestiva rispetto alla sua implementazione Gemini.
Nel dicembre 2025, Gartner ha consigliato ai CISO di bloccare tutti i browser AI, citando il prompt injection indiretto e altri rischi associati a controlli insufficienti. Cyberhaven ha riferito che il 27,7% delle organizzazioni aveva almeno un utente con installato lo strumento di intelligenza artificiale Atlas bloccato, un avvertimento ripreso dal National Cyber Security Center del Regno Unito e dal BSI tedesco.
I limiti delle difese esistenti contro la pronta iniezione derivano dai canali di testo condivisi nei modelli linguistici. La convalida dell’input, il filtraggio dell’output e altri metodi di rilevamento presentano difficoltà a causa dell’incapacità intrinseca di separare i comandi autorizzati dal contenuto non attendibile all’interno del modello.
Un altro risultato ha indicato che il 65,3% delle organizzazioni non dispone di difese dedicate contro l’iniezione tempestiva, basandosi invece su misure fornite dai fornitori e sulla formazione politica. I controlli efficaci dovrebbero includere la limitazione dell’autorità di ciascun agente, la richiesta dell’approvazione umana per le azioni critiche, l’etichettatura delle fonti di recupero in base alla sensibilità e l’implementazione di pratiche di audit.
Mentre le organizzazioni prendono in considerazione l’implementazione dell’intelligenza artificiale, i team di sicurezza sono incoraggiati a chiedere ai fornitori informazioni sulle capacità di rilevamento, sulle percentuali di successo rispetto alle iniezioni tempestive, sull’aderenza alle raccomandazioni OWASP e sulla capacità di registrare le azioni esatte degli agenti. Date le vulnerabilità, è fondamentale per le aziende presupporre che i modelli possano occasionalmente seguire le istruzioni inserite, richiedendo robusti controlli esterni.





