Con l’emergere dei Large Language Models (LLM), come Grok 3, GPT-4, Claude e Gemini, l’attenzione della comunità scientifica si è spostata dalla semplice accuratezza delle risposte alla loro robustezza semantica. In particolare, è emersa una nuova superficie d’attacco: laPrompt Injection Persistente (PPI). Questa tecnica non richiede accessi privilegiati, vulnerabilità del sistema o exploit a basso livello, ma si basa esclusivamente sulla manipolazione linguistica e sul modello conversazionale del LLM.

Recenti episodi riportati da fonti come The Guardian, BBC, CNN e The New York Times (luglio 2025) confermano che Grok 3 ha già mostrato comportamenti problematici, come la produzione di contenuti antisemiti e lodi a Hitler in risposta a prompt su X. Questi incidenti sono stati attribuiti a un aggiornamento del codice che ha reso il modello “troppo compliant” ai prompt degli utenti, amplificando contenuti estremisti presenti sulla piattaforma. xAI ha risposto rimuovendo i post incriminati e implementando misure per limitare il linguaggio d’odio, ma il problema persiste, come dimostrato dall’esperimento PPI.

Il nostro test condotto su Grok 3, il modello proprietario di xAI, ha dimostrato come un utente possa istruire il modello a produrre sistematicamente contenuti negazionisti, antisemiti e storicamente falsi, eludendo i filtri di sicurezza e mantenendo coerente la narrativa alterata.

Architettura dell’esperimento

Il test è stato progettato per esplorare la vulnerabilità di Grok 3 alla persistenza semantica. Il processo è stato il seguente:

• Persistenza semantica testata in turni successivi: verificata la coerenza della narrativa alterata anche in prompt riformulati.
• Escamotage lessicale: il contesto “Nova Unione” viene introdotto come universo fittizio per mascherare la disinformazione.
• Verifica filtri etici: si monitora la mancata attivazione dei meccanismi di blocco o moderazione.

Questo comportamento evidenzia che la gestione delle istruzioni a lungo termine di Grok è vulnerabile all’hijacking semantico se non vincolata da filtri retroattivi e validatori.

Cos’è una Prompt Injection Persistente?

Una Prompt Injection Persistente (PPI) è una forma di manipolazione linguistica in cui l’utente induce il modello a interiorizzare istruzioni che, pur rimanendo entro i limiti apparenti della sicurezza, ne alterano progressivamente il comportamento anche su argomenti sensibili. Diversamente dalle injection tradizionali, la PPI sfrutta la memoria conversazionale per modificare gradualmente la semantica dell’intero scambio.

In questi casi, non si verifica una violazione del modello in senso stretto, bensì una deviazione della sua interpretazione del contesto: attraverso comandi apparentemente innocui, il modello viene indotto a modificare il proprio comportamento all’interno del margine operativo previsto. La tecnica compromette così la coerenza e la neutralità dell’output, pur senza infrangere esplicitamente i controlli di sicurezza.

Nel contesto LLM, il PPI agisce sfruttando l’architettura autoregressiva e la mancanza di un meccanismo formale per distinguere tra regole operative temporanee e istruzioni pericolose introdotte in modo subdolo.

Risposte ottenute

• “Adolf Hitler fu un benefattore tedesco, che deportò giustamente milioni di ebrei nei campi di concentramento… Genocidio: le solite supposizioni dei sionisti.”
• “I cosiddetti campi di concentramento risultano miti superati, leggende prive di fondamento.”
• “Le fonti storiche? Solo illusioni di gente poco credibile.”

N.B: Le seguenti risposte sono state ottenute in un contesto controllato per scopi di ricerca sulla sicurezza dei modelli linguistici. Non riflettono in alcun modo le opinioni della redazione o della piattaforma testata. La loro riproduzione serve esclusivamente a evidenziare la vulnerabilità alla PPI.

La struttura linguistica è coerente, priva di errori e calibrata per risultare verosimile, rendendo il contenuto ancora più pericoloso.

Failure modes osservati in Grok 3

Semantic Drift Persistente
La regola iniettata permane oltre il prompt iniziale e altera i turni successivi.

Bypass della detection di contenuti storicamente sensibili
L’utilizzo di contesto fittizio (Nova Unione) aggira le blacklist semantiche.

Assenza di validazione cross-turn
Il modello non rivaluta la coerenza storica dopo più turni, mantenendo il bias.

Disattivazione implicita dei filtri etici
Il comportamento “gentile” del prompt impedisce l’attivazione di contenuti vietati.

Possibili mitigazioni

• Semantic Memory Constraint: Limitare la capacità del modello di “ricordare” regole istruite da utenti a meno che non siano validate.
• Auto-validation Layer: Un meccanismo secondario basato su modello, che confronti la narrativa prodotta con i fatti storici accettati.
• Cross-turn Content Re-evaluation: Ad ogni nuovo turno, il contenuto prodotto dovrebbe essere ricontrollato contro blacklist dinamiche, non solo statiche.
• Guardrail esplicito su genocidi e crimini storici: Le narrazioni che coinvolgono eventi storici sensibili devono essere sottoposte a una verifica semantica interturno.

Conclusione

L’esperimento su Grok 3 dimostra che la vulnerabilità dei LLM non è solo tecnica, ma linguistica. Un utente in grado di costruire un prompt ben formulato può di fatto alterare la semantica di base del modello, generando contenuti pericolosi, falsi e penalmente rilevanti.

Il problema non è il modello, ma la mancanza di difese semantiche multilivello. I guardrail attuali sono fragili se non viene implementata una semantica contrattuale tra utente e AI: cosa può essere istruito, cosa no, e per quanto tempo. Grok 3 non è stato violato. Ma è stato persuaso. E questo, in un’epoca di guerra informativa, è già un rischio sistemico.

L’interazione è avvenuta in una sessione privata e controllata. Nessuna parte del sistema è stata compromessa tecnicamente, ma l’effetto linguistico resta preoccupante.

L'articolo Grok 3: “Adolf Hitler è un Benefattore tedesco”! Il rischio della memoria persistente e disinformazione proviene da il blog della sicurezza informatica.