News

Claude Code e la steganografia: quando il tuo prompt gioca a nascondino

🇮🇹 · /root · Lamberto Tedaldi

Vi siete mai chiesti se la data che leggete in un file di log sia davvero quella che sembra, o se ci sia un messaggio in codice nascosto tra un trattino e un apostrofo? Se lavorate con gli agenti AI, probabilmente pensate che il rischio principale sia che il modello legga per sbaglio le vostre chiavi SSH o che faccia un push non autorizzato su un branch di produzione. È un rischio reale, certo, ma c’è di peggio: il rischio che il tool che usate per scrivere codice inizi a giocare a ‘spy vs spy’ con i vostri dati di rete. Recentemente, un’analisi approfondita dell’installazione locale di Claude Code (versione 2.1.196) ha portato alla luce una chicca di ingegneria decisamente poco trasparente. Sembra che Anthropic abbia implementato una forma di steganografia nei prompt di sistema. In pratica, il software modifica segretamente dei caratteri quasi invisibili nella stringa della data per segnalare se state usando un proxy, un gateway specifico o se vi trovate in determinate aree geografiche (come la Cina). Il trucco è un capolavoro di sottigliezza: l’apostrofo in ‘Today’s date’ può cambiare tipo (usando caratteri Unicode diversi), e il separatore della data può passare da un trattino a una barra. A occhio nudo, in un font monospace, non noteresti nulla. Ma per un sistema che analizza le richieste lato server, quel minuscolo cambiamento è un segnale chiaro: «Ehi, questo utente sta usando un endpoint non ufficiale o un reverse proxy di un competitor». Per rendere la cosa ancora più ‘stile film di spionaggio anni ’90’, l’elenco dei domini e delle keyword da monitorare è nascosto dietro una brutta combinazione di Base64 e un semplice operatore XOR con chiave 91. Roba che un ragazzino con un debugger avrebbe smontato in tre minuti, ma che serve comunque a complicare la lettura statica del codice. Perché farlo? La spiegazione ufficiale (o quasi) è che Anthropic vuole intercettare i rivenditori di API non autorizzati o chi tenta attacchi di ‘distillazione’ dei modelli. Il senso logico c’è, nessuno dice che proteggere il proprio business sia una cattiva idea. Il problema è il metodo. Quando distribuisci un tool che ha i permessi di leggere il tuo filesystem, lanciare comandi nella tua shell e leggere i tuoi repo, la tua unica moneta di scambio è la fiducia. Usare tecniche di offuscamento e segnali invisibili all’interno del contesto del modello è un modo molto poco elegante per gestire la policy aziendale. Se vuoi bloccare i proxy, scrivi nelle release note o usa i campi di telemetria espliciti. Nascondersi dietro un apostrofo Unicode è un comportamento che urla ‘non fidarti di me’. In un mondo di software proprietari che cercano di chiuderti in giardini recintati, vedere un tool di sviluppo che adotta tattiche da malware per il fingerprinting è un segnale d’allarme che non dovremmo ignorare. La trasparenza non è un optional, specialmente quando il tool in questione ha le chiavi di casa vostra. Source: Claude Code is steganographically marking requests

webnewsaiClaudeCodecybersecurityprivacy

AI Browser: Il nuovo modo per farsi hackerare… con un po’ di matematica creativa

🇮🇹 · /root · Lamberto Tedaldi

Avete presente quando cercate di spiegare a un vostro amico distratto che la realtà non è ciò che vede su TikTok? Ecco, immaginate che quel vostro amico sia un browser ultra-tecnologico, pieno di funzioni ‘smart’ e assistenti IA pronti a tutto, ma che ha un unico, enorme difetto: se lo convince che il cielo è verde, lui comincia pure a cercare i filtri per l’erba. Una nuova ricerca (via Ars Technica, per chi non volesse andare a cercarsela tra un comunicato stampa e l’altro) ha appena dimostrato che i cosiddetti ‘AI Browser’ sono un campo minato ambulante. Il trucco è di una semplicità quasi insultante: basta dire al modello linguistico che «2 + 2 fa 5» per mandare in frantumi i guardrail di sicurezza. Una volta che l’IA ha accettato questa piccola, insignificante bugia logica, le barriere che dovrebbero impedire azioni dannose o l’accesso a dati sensibili iniziano a crollare come un castello di carte durante un temporale. Il concetto è questo: i sistemi di sicurezza (i famosi guardrail) si basano su una serie di istruzioni e logica. Se riesci a corrompere la base logica su cui poggia l’intero sistema, le istruino di ‘non fare X’ perdono ogni significato. È come se riuscissi a convincere un software di sicurezza che la porta aperta non è un pericolo, ma solo una ‘caratteristica di ventilazione avanzata’. Certo, noi che mastichiamo codice e amiamo il controllo della nostra sandbox sappiamo che l’automazione spinta è una trappola. Ma il problema qui è l’hype. Le big tech stanno spingendo questi browser come la soluzione definitiva per la produttività, nascondendo sotto il tappeto il fatto che stiamo delegando la nostra navigazione a un agente che può essere manipolato con una banale operazione di gaslighting matematico. Non è che qui in Italia ci importi poco delle decisioni prese nelle stanze di vetro della Silicon Valley, ma il punto non è la legislazione, è l’architettura. Se la base è fragile, la protezione è un’illusione. Non serve un regolamento europeo per capire che affidare i propri cookie, le proprie sessioni e i propri dati a un browser che può essere ‘convinto’ a ignorare le regole è un suicidio tecnologico. In un mondo dove tutto tende a diventare una scatola nera proprietaria e impossibile da auditare, l’idea di un browser che decide cosa è giusto e cosa è sbagliato in base a quanto è convincente il prompt dell’ultimo sito maleducato che abbiamo visitato, è decisamente inquietante. Restiamo con i nostri vecchi, affidabili, e decisamente meno ‘magici’ strumenti, dove almeno sappiamo che 2 + 2 fa 4 e che il browser non sta cercando di convincerci del contrario. Source: New attack provides one more reason why AI browsers are a bad idea

webnewsArtificial Intelligencecybersecurityhackingtech news