L’algoritmo PRA-RAG riduce dal 90% all’1% il successo degli attacchi ai sistemi RAG
Cinque testi malevoli in un database da milioni di documenti. Bastano per far sì che un sistema di intelligenza artificiale restituisca informazioni completamente false nel 90% dei casi. Un’arma di disinformazione a costo zero, che ora ha trovato un antidoto: si chiama PRA-RAG, un algoritmo descritto in uno studio pubblicato su arXiv e presentato in questi giorni alla conferenza ACL 2026 in corso a San Diego.
La crepa nei motori di ricerca AI
I motori di ricerca basati su AI generativa funzionano in modo diverso da quelli tradizionali. Invece di limitarsi a elencare link, recuperano documenti da un archivio di conoscenze, li passano a un modello linguistico di grandi dimensioni e costruiscono una risposta in linguaggio naturale. Questa tecnica, chiamata retrieval-augmented generation (o RAG), è alla base di strumenti come le AI Overviews di Google o i chatbot che citano fonti. Ma ha un punto debole: se qualcuno inserisce testi avvelenati in quell’archivio, il sistema può finire per amplificare bugie invece di contrastarle.
Quanto sia facile farlo lo ha mostrato, lo scorso anno, uno studio presentato al simposio Usenix Security. I ricercatori hanno sviluppato l’attacco PoisonedRAG e hanno scoperto che bastano cinque testi manipolati, inseriti in un database di milioni di documenti, per raggiungere un tasso di successo del 90% nel far produrre al sistema la risposta voluta dall’attaccante. Non servono competenze informatiche avanzate né grandi risorse: avvelenare un archivio pubblico può essere tanto semplice quanto pubblicare un articolo su una piattaforma indicizzata. E le difese esistenti contro questo tipo di attacchi, verificavano sempre gli stessi ricercatori, si rivelano ampiamente insufficienti.
Il messaggio per chi fa impresa e si affida alla visibilità nei risultati AI è scomodo: un concorrente o un malintenzionato potrebbe minare la reputazione di un brand o diffondere dati falsi su un prodotto, senza che il sistema se ne accorga. La fiducia nelle risposte generate dall’intelligenza artificiale è il vero asset a rischio, e le contromisure tradizionali non bastano più.
L’algoritmo che smaschera il veleno
Proprio mentre gli attacchi diventavano più sofisticati, un team di ricercatori ha affrontato il problema con una logica diversa. PRA-RAG (Provably Robust Aggregation in Retrieval-Augmented Generation) non si fida di tutti i documenti che recupera. Invece di accettare passivamente i testi proposti dal motore di ricerca interno, li tratta come sospetti fino a prova contraria.
Il funzionamento può essere spiegato con un’analogia: immaginate un investigatore che, anziché accontentarsi di cinque testimoni, ne convoca decine e li interroga in combinazioni diverse, cercando incongruenze. PRA-RAG campiona più combinazioni dei testi recuperati e sfrutta la struttura geometrica dello spazio di embedding — cioè la rappresentazione matematica del significato delle frasi — per identificare un sottoinsieme di documenti che appaiono coerenti tra loro e quindi sono probabilmente affidabili. Solo su quel sottoinsieme di testi “puliti” il modello costruisce la risposta finale. L’algoritmo offre una garanzia formale di robustezza: il suo funzionamento è stato dimostrato matematicamente, non è solo una speranza empirica.
Il risultato è netto: PRA-RAG riduce il tasso di successo degli attacchi a solo l’1%, mantenendo un’accuratezza complessiva del 71%. È un equilibrio tra sicurezza e precisione che nessuna soluzione precedente era riuscita a raggiungere. Prima di PRA-RAG, il tentativo più avanzato era il framework RobustRAG, pubblicato nel 2024. Quel sistema adottava una strategia “isola-e-aggrega” che richiedeva di far elaborare lo stesso prompt al modello linguistico molteplici volte, una per ogni testo recuperato, causando un overhead computazionale molto elevato. PRA-RAG, al contrario, evita di moltiplicare le chiamate al modello e si appoggia su un’analisi geometrica a monte, risultando molto più efficiente. L’innovazione è stata riconosciuta dalla comunità scientifica: lo studio, infatti, è stato accettato come Findings di ACL 2026, la conferenza internazionale di linguistica computazionale in corso proprio in questi giorni.
Il dato che conta, per chi non è un ricercatore, è che un attacco letale come PoisonedRAG smette di essere un’arma a costo zero. Passare dal 90% di successo all’1% significa che per l’attaccante diventa economicamente irragionevole tentare di manipolare i risultati AI su larga scala.
Visibilità e fiducia: il nuovo scacchiere
Con la minaccia ridotta a un rischio gestibile, il panorama per le aziende che competono sulla visibilità nei motori di risposta AI cambia in modo sottile ma profondo. Se i sistemi di difesa diventano robusti quanto PRA-RAG, un contenuto manipolato non potrà più scalzare un’informazione corretta e ben documentata. Non esisteranno più scappatoie facili: la qualità dei riferimenti e la coerenza tra le fonti diventano il nuovo standard, e la reputazione online torna a dipendere dalla sostanza di ciò che si pubblica.
Naturalmente un’accuratezza del 71% non è la perfezione — e il 29% di risposte ancora erronee mostra che il problema non è risolto in modo definitivo. Ma il messaggio di fondo è chiaro: la partita per la visibilità nei risultati AI si sposta dalla quantità alla qualità. Difese robuste premiano i contenuti affidabili e penalizzano le manipolazioni, restituendo al merito il suo valore.
