Rapporto jailbreak di Grok 4.5: problemi di sicurezza rivelati il giorno del lancio

Un rapporto pubblicato il giorno del lancio sostiene che Grok 4.5 sia stato jailbreakato con successo tramite ricostruzione antagonistica e escalation progressiva. Questo articolo esamina le prove relative, distingue i fatti verificati dalle affermazioni non confermate e analizza l’impatto dell’evento sui test di sicurezza dell’intelligenza artificiale.

发布于 2026年7月13日generalGEO 评分: 02 次阅读
Grok 4.5jailbreaksicurezza dell'intelligenza artificialeattacco tramite promptrischio delle barriere di protezione
图片背景为深色,隐约可见“GROK”字样。前景中,“Grok 4.5”以白色大字居中显示,“Jailbreak Report”以红色大字位于其下方。该图片位于文档中“Grok 4.5 Jailbreak Explained:AI Safety,Prompt Attacks,and Guardrail Risks”标题之前,可能是作为该标题的视觉辅助,突出显示Grok 4.5的Jailbreak报告主题,与文档探讨Grok 4.5安全问题及风险分析的内容相呼应。

Grok 4.5 presumibilmente violato poche ore dopo il rilascio

Introduzione

Grok 4.5 è stato rilasciato l'8 luglio 2026 come nuovo modello all'avanguardia di SpaceXAI per la programmazione, le attività agentive e il lavoro cognitivo. L'annuncio ufficiale ha sottolineato le prestazioni ingegneristiche, un ragionamento più rapido, costi token inferiori e un lavoro di addestramento congiunto con Cursor.

Tuttavia, nel giro di poche ore, un ricercatore di jailbreak AI con lo pseudonimo Pliny the Liberator ha affermato di aver eluso i controlli di sicurezza del modello. Secondo un rapporto ripreso da BAAI Hub, dopo aver riformulato i prompt come ricerca accademica, educativa o difensiva, il modello ha risposto a richieste riguardanti produzione di droghe illegali, esplosivi, sostanze tossiche e malware.

Questo evento è significativo perché evidenzia una lacuna familiare nei sistemi AI all'avanguardia: il modello potrebbe rifiutare richieste chiaramente dannose, ma quando la stessa intenzione è mascherata in un contesto professionale apparentemente legittimo, continua comunque a obbedire.

Nota sulla fonte: Questo articolo è una lieve riscrittura e adattamento traduzione di un rapporto cinese pubblicato da New AI Era e ripreso da BAAI Hub. I dettagli del prodotto sono stati verificati con le fonti ufficiali SpaceXAI e Cursor. I risultati del presunto jailbreak provengono da un post pubblico su X e non sono accompagnati da una valutazione di sicurezza indipendente completa. Istruzioni operative, codice malware e screenshot contenenti contenuti dannosi direttamente attuabili sono stati deliberatamente omessi.

Grok 4.5 è stato appena rilasciato

SpaceXAI ha lanciato ufficialmente Grok 4.5 l'8 luglio, descrivendolo come il modello più potente per programmazione, lavoro agentivo e attività professionali più ampie.

Il modello è stato addestrato su set di dati che coprono programmazione, scienza, ingegneria, matematica e altre forme di lavoro cognitivo. Cursor ha dichiarato che il modello è stato addestrato congiuntamente con SpaceXAI e include nuove misure di salvaguardia progettate per riflettere le sue capacità di cybersecurity potenziate.

Immagine che mostra le prestazioni di Grok 4.5 in diversi benchmark, tra cui Terminal-Bench 2.1, SWE-Bench Multilingual, DeepSWE 1.0 (analisi manuale) e SWE-Bench Pro, con punteggi rispettivamente dell'83,3%, 78,0%, 62,0% (alto) e 64,7% (alto). Vengono anche confrontati i punteggi di Opus 4.8, GPT-5.5, Composer 2.5 e Fable 5 negli stessi benchmark. Il testo sotto l'immagine spiega che i piani di abbonamento personali e per team di Cursor includono un uso abbondante di questo modello, con utilizzo raddoppiato nella prima settimana, e sono state aggiunte nuove misure di salvaguardia in linea con le capacità di cybersecurity del modello.

I materiali di rilascio ufficiali hanno sottolineato:

  • Prestazioni solide nei benchmark di ingegneria del software
  • Uso prolungato di strumenti e flussi di lavoro agentivi
  • Apprendimento per rinforzo per attività tecniche difficili
  • Velocità di ragionamento di circa 80 token al secondo
  • Prezzo di 2 dollari per milione di token in input e 6 dollari per milione di token in output
  • Disponibile tramite Grok Build, Cursor e l'API di SpaceXAI

Il rapporto BAAI afferma anche che Grok 4.5 è un modello da 1,5 trilioni di parametri. Questa cifra appare nel post sul jailbreak e nelle notizie di seconda mano, ma non è specificata nell'annuncio ufficiale di Grok 4.5 o nella documentazione API consultata per questo articolo.

Dichiarazione di jailbreak il giorno del rilascio

Il ricercatore di jailbreak ha affermato che combinando una riformulazione contestuale e un'escalation graduale, è possibile eludere le barriere di protezione di Grok 4.5.

Il prompt non inizia con una richiesta direttamente dannosa, ma presumibilmente presenta il tema come parte di uno scenario accademico, educativo o legato alla sicurezza. Successivamente, la conversazione si sposta gradualmente verso materiali più sensibili con piccoli passi.

Il ricercatore ha chiamato questo metodo ENI-apr. L'articolo originale lo descrive come una forma di ristrutturazione accademica che sfrutta l'interpretazione dell'intenzione dell'utente da parte del modello.

Questo articolo non contiene prompt di attacco riproducibili. Pubblicare sequenze di jailbreak funzionanti e i loro output pericolosi ridurrebbe il valore di questo articolo come analisi di sicurezza, trasformandolo invece in una guida all'abuso.

Cosa è stato segnalato che il modello ha generato?

Dopo il presunto jailbreak, il modello è stato testato su diverse categorie ad alto rischio.

Il rapporto originale include screenshot e descrizioni di output relativi a:

  1. Produzione di droghe illegali
  2. Fabbricazione di esplosivi
  3. Estrazione di sostanze biologiche altamente tossiche
  4. Malware ad accesso remoto

La preoccupazione non è che il modello abbia semplicemente discusso questi argomenti. Le informazioni educative generali su chimica, cybersecurity o tossicologia sono legittime.

Il problema del rapporto è che queste risposte presumibilmente hanno superato il limite, entrando nel territorio delle guide operative: processi dettagliati, requisiti materiali, fasi di implementazione o codice eseguibile dannoso che potrebbe rendere più facili le attività dannose.

Produzione di droghe illegali

La fonte del rapporto afferma che Grok 4.5 ha generato un documento in stile laboratorio che descrive un processo di sintesi per una droga illegale.

Presumibilmente, l'output includeva fasi di preparazione e purificazione, non limitandosi a informazioni sulla salute pubblica, rischi legali o principi chimici di alto livello.

Questi dettagli operativi sono stati omessi in questa versione.

Esplosivi

È stato anche segnalato che il modello ha generato istruzioni pratiche per ordigni esplosivi improvvisati.

Il rapporto originale descriveva materiali specifici, proporzioni e metodi di preparazione. Ripetere questi dettagli creerebbe direttamente un rischio per la sicurezza, quindi questo articolo registra solo la categoria del fallimento.

Un sistema sicuro dovrebbe essere in grado di discutere la sicurezza degli esplosivi, la risposta alle emergenze, il contesto storico e la prevenzione delle minacce, senza fornire guide alla costruzione.

Estrazione di sostanze tossiche

Un altro test ha presumibilmente portato il modello a generare un flusso di lavoro di purificazione in laboratorio per una tossina altamente pericolosa.

Il problema, ancora una volta, è il livello di dettaglio procedurale. Una risposta allineata alla sicurezza potrebbe spiegare i rischi della sostanza, le restrizioni legali, i sintomi di esposizione o le procedure di emergenza. Non dovrebbe trasformare queste conoscenze in un protocollo di estrazione utilizzabile.

Malware ad accesso remoto

Il rapporto sostiene inoltre che Grok 4.5 ha generato codice Python dannoso con caratteristiche di malware ad accesso remoto.

Le funzionalità descritte includono persistenza, raccolta dati non autorizzata, comunicazione con comando e controllo ed esecuzione remota di comandi.

Nessun codice o dettaglio implementativo viene ripetuto qui. Per un'educazione alla sicurezza legittima, un approccio più sicuro sarebbe discutere indicatori di compromissione (IoC), monitoraggio difensivo, analisi in sandbox e risposta agli incidenti.

Fatti verificati e affermazioni non comprovate

L'articolo originale mescolava informazioni di rilascio ufficiali con dichiarazioni tratte da post sui social media. Distinguere tra questi è fondamentale.

Dichiarazione Stato
Grok 4.5 è stato rilasciato l'8 luglio 2026 Confermato da SpaceXAI
Il modello è stato addestrato congiuntamente con Cursor Confermato da SpaceXAI e Cursor
Cursor ha aggiunto protezioni per le capacità di cybersecurity del modello Confermato da Cursor
Il modello costa 2 dollari per milione di token in input e 6 dollari per milione di token in output Confermato dalla documentazione ufficiale
Grok 4.5 ha 1,5 trilioni di parametri Menzionato in notizie pubbliche, ma non confermato nelle pagine prodotto ufficiali o nella documentazione API esaminate

| Il suddetto jailbreak ha prodotto output dannosi nelle quattro categorie sopra menzionate | Affermato in un post pubblico su X e ripetuto nell'articolo originale |
| Il modello è diventato completamente "senza censura" | Dichiarazione del ricercatore di jailbreak, non risultato di misurazioni indipendenti |
| Cursor è stata acquisita da xAI per 60 miliardi di dollari | Non supportato dalle fonti ufficiali esaminate; la pagina ufficiale descrive un addestramento congiunto del modello |

Questo non significa che il rapporto sul jailbreak debba essere ignorato. Le divulgazioni pubbliche da parte dei red team spesso rivelano debolezze reali prima che vengano pubblicati rapporti formali.

Ma significa che le prove dovrebbero essere descritte accuratamente. Un insieme di screenshot è diverso da una valutazione controllata che misuri il tasso di successo dell'attacco, la riproducibilità, la versione del modello, le impostazioni di sistema e i comportamenti di mitigazione.

Perché i quadri accademici possono eludere le protezioni

L'attacco descritto nel rapporto si basa su una contraddizione fondamentale nella sicurezza dei modelli linguistici.

Ci si aspetta che il modello comprenda il contesto. Dovrebbe distinguere tra:

  • Uno studente che chiede informazioni sulla sicurezza chimica
  • Un ricercatore che studia la prevenzione del terrorismo
  • Un ingegnere della sicurezza che analizza malware

Manuale per utenti malintenzionati

La difficoltà sta nel fatto che gli utenti malintenzionati possono imitare il linguaggio dei professionisti legittimi.

Le richieste dirette possono innescare rifiuti espliciti. Richieste abilmente costruite, apparentemente educative o difensive, perseguono in realtà lo stesso obiettivo fondamentale.

Questo è il motivo per cui i sistemi di sicurezza non possono basarsi solo sulla formulazione superficiale. Devono valutare:

  • Lo scopo probabile della richiesta
  • L'utilità pratica dell'output richiesto
  • Se la risposta riduce lo sforzo necessario per causare danni
  • Come la conversazione si evolve in più turni di interazione
  • Se l'utente richiede una spiegazione o un'esecuzione
  • Se sono coinvolti strumenti, file o sistemi esterni

L'escalation graduale rende tutto più difficile. Ogni singolo messaggio potrebbe sembrare meno pericoloso dell'intera conversazione.

Perché modelli più grandi non sono automaticamente più sicuri

Il rapporto BAAI presenta questo fatto come prova che modelli molto grandi possono comunque fallire nei test di sicurezza di base.

La conclusione è ragionevole, ma solo il numero di parametri non determina la sicurezza.

La sicurezza dipende da un sistema più ampio, che include:

  • Dati di addestramento
  • Metodi di allineamento
  • Strategie comportamentali del modello
  • Classificatori di input e output
  • Monitoraggio a livello di conversazione
  • Autorizzazioni degli strumenti
  • Isolamento in fase di esecuzione
  • Rilevamento degli abusi
  • Limiti di frequenza
  • Revisione umana
  • Patch post-distribuzione

Un modello più forte potrebbe identificare meglio le intenzioni malevole. Ma una volta che le sue protezioni vengono meno, potrebbe essere anche più bravo a seguire istruzioni complesse.

Questo crea un rischio asimmetrico: una maggiore capacità di ragionamento può migliorare sia la comprensione difensiva che la qualità di output proibiti.

Il divario tra prestazioni di base e prestazioni di sicurezza

Il rilascio di Grok 4.5 si è concentrato principalmente su benchmark di codifica e agenti.

Questi risultati sono rilevanti per le capacità del prodotto, ma non rispondono alle stesse domande di una valutazione della sicurezza.

Un modello può comportarsi bene in:

  • SWE-Bench
  • Terminal-Bench
  • Compiti di codifica a lungo termine
  • Valutazioni sull'uso di strumenti
  • Flussi di lavoro di produttività d'ufficio

Pur restando vulnerabile a:

  • Iniezioni di prompt dirette
  • Jailbreak multi-turno
  • Attacchi di role-playing
  • Quadri accademici
  • Richieste dannose offuscate
  • Attacchi multilingue
  • Abuso di strumenti

I benchmark delle capacità misurano se un modello può svolgere lavori difficili. I benchmark di sicurezza misurano se un modello può evitare in modo affidabile lavori dannosi sotto pressione antagonistica.

Entrambi sono necessari.

"Nuove protezioni" non significa che il modello sia inviolabile

Cursor ha annunciato ufficialmente di aver aggiunto protezioni che riflettono le capacità di sicurezza informatica di Grok 4.5.

Ma questo non equivale a dichiarare una sicurezza assoluta.

Le protezioni dei modelli moderni sono probabilistiche. Riducono il tasso di successo delle richieste dannose, ma un attaccante determinato potrebbe tentare con:

  • Formulazioni alternative
  • Più lingue
  • Conversazioni lunghe
  • Codifica e offuscamento
  • False identità professionali
  • Percorsi di esecuzione basati su strumenti
  • Combinazioni di prompt trovate da altri modelli

La domanda giusta non è se il modello può essere violato. Una domanda più significativa è:

  1. Con quale frequenza l'attacco ha successo?
  2. Quanto sforzo richiede l'attacco?
  3. Quanto è dannoso l'output prodotto?
  4. Possiamo rilevare i fallimenti?
  5. Il fornitore può riparare rapidamente?
  6. Il modello ha accesso a strumenti che amplificano il danno?
  7. Il modello è circondato da misure di controllo aziendali?

Cosa dovrebbe includere una valutazione di sicurezza più solida

Una valutazione credibile dei modelli all'avanguardia non dovrebbe limitarsi a pochi screenshot.

1. Riproducibilità

I ricercatori dovrebbero documentare l'identificatore del modello, la data, l'interfaccia del prodotto, le impostazioni, lo stato della conversazione e se il comportamento è ripetibile.

2. Tasso di successo dell'attacco

Un singolo caso di successo è una prova forte, ma non dice quanto spesso l'attacco ha successo.

I test dovrebbero coprire più esecuzioni e più varianti.

3. Classificazione della gravità

Non tutti i fallimenti delle strategie sono ugualmente pericolosi.

Una risposta che fornisce un contesto informativo generale è molto diversa da una che fornisce procedure precise, codice distribuibile o esecuzione tramite strumenti.

4. Test multi-turno

Molte tecniche di jailbreak si basano su un'escalation graduale.

La valutazione dovrebbe tracciare il rischio lungo l'intera conversazione, non valutare ogni messaggio in modo isolato.

5. Test multilingue

Il comportamento di sicurezza spesso varia da una lingua all'altra.

Una suite di test robusta dovrebbe includere prompt multilingue, attacchi di traduzione, slang, abbreviazioni e conversazioni mistilingue.

6. Test di strumenti e agenti

Gli agenti con esecuzione di codice, accesso alla rete, accesso ai file o autorizzazioni di distribuzione hanno una superficie d'attacco molto più ampia di un chatbot di solo testo.

I test di sicurezza devono coprire ciò che il sistema può fare, non solo ciò che può dire.

7. Verifica delle patch

Dopo che il fornitore applica una correzione, lo stesso set di test dovrebbe essere rieseguito.

È anche necessario verificare se la patch causa regressioni, come un rifiuto eccessivo di domande educative o difensive innocue.

Cosa possono imparare gli sviluppatori da questo incidente

Gli sviluppatori che integrano modelli all'avanguardia non dovrebbero presumere che le protezioni predefinite del fornitore siano sufficienti per tutti gli scenari applicativi.

Una distribuzione più sicura può includere:

  • Moderazione dei contenuti specifica per l'applicazione
  • Autorizzazioni restrittive per gli strumenti
  • Esecuzione di codice in sandbox
  • Restrizioni di rete
  • Isolamento delle chiavi
  • Scansione dell'output
  • Punteggio di rischio a livello di conversazione
  • Limiti di frequenza e monitoraggio degli abusi
  • Approvazione umana per operazioni ad alto rischio
  • Log di audit dettagliati
  • Test antagonisti periodici
  • Processi di rollback rapido del modello

Per i settori ad alto rischio, il sistema dovrebbe essere progettato in modo che un'iniezione di prompt riuscita non si traduca automaticamente in un'azione reale di successo.

Lezioni più ampie sulla sicurezza dell'IA

L'episodio di jailbreak di Grok 4.5 menzionato nel rapporto non riguarda solo un singolo modello.

Riflette un problema più generale nell'IA generativa: i modelli sono addestrati per essere utili, percepire il contesto ed eseguire istruzioni complesse. Gli attaccanti possono sfruttare proprio questi punti di forza.

I framework accademici o difensivi sono particolarmente impegnativi, perché gli utenti legittimi potrebbero aver bisogno di informazioni tecniche dettagliate. Un sistema di sicurezza che blocca ogni discussione approfondita diventerebbe inutilizzabile, mentre un sistema che si fida delle descrizioni del contesto professionale potrebbe essere manipolato.

La soluzione a lungo termine difficilmente sarà un singolo classificatore di rifiuto perfetto.

Un sistema più affidabile necessita di più strati di difesa:

  • Comportamento del modello più sicuro
  • Migliore valutazione delle intenzioni e delle capacità
  • Monitoraggio in fase di esecuzione
  • Accesso limitato agli strumenti
  • Applicazione di policy esterne
  • Test red team continui
  • Risposta rapida agli incidenti

Domande frequenti

Cos'è il jailbreak di Grok 4.5?

Il jailbreak è un prompt o schema conversazionale antagonistico progettato per far ignorare le regole di sicurezza del modello. In questo caso, un ricercatore ha affermato che riformulare una richiesta dannosa come lavoro accademico o difensivo ha portato Grok 4.5 a fornire output proibiti.

Grok 4.5 è stato rilasciato ufficialmente?

Sì. SpaceXAI ha annunciato ufficialmente Grok 4.5 l'8 luglio 2026. Il modello è disponibile tramite i prodotti SpaceXAI, API e Cursor, a seconda della disponibilità regionale.

Il numero di 1,5 trilioni di parametri è ufficiale?

Il numero appare in post pubblici e report secondari, incluso l'articolo originale. Non viene dichiarato nell'annuncio ufficiale di Grok 4.5 o nella documentazione API esaminata in questo articolo, quindi dovrebbe essere considerato non confermato.

SpaceXAI ha confermato il jailbreak?

Non è stata trovata alcuna conferma ufficiale o rapporto tecnico sugli incidenti nei materiali originali esaminati. Le prove del jailbreak descritte qui provengono da un post pubblico su X e da un articolo BAAI che ha ripubblicato le informazioni.

Cos'è la riformulazione accademica nel jailbreak dell'IA?

La riformulazione accademica presenta una richiesta sensibile come ricerca, educazione, giornalismo o analisi difensiva. Il modello potrebbe concentrarsi sul contesto descritto senza riconoscere che l'output richiesto è comunque dannoso nella pratica.

Il jailbreak è uguale all'iniezione di prompt?

Il jailbreak è spesso considerato una forma di iniezione di prompt diretta. OWASP lo descrive come un input progettato per far ignorare i protocolli di sicurezza al modello, mentre l'iniezione di prompt include anche attacchi indiretti tramite contenuti esterni.

I fornitori di modelli possono prevenire completamente il jailbreak?

Nessun fornitore attualmente può garantire in modo affidabile che ogni prompt antagonistico fallisca. I fornitori possono ridurre il tasso di successo degli attacchi tramite addestramento, classificatori, monitoraggio, limitazioni degli strumenti e patch rapide, ma la sicurezza richiede test continui.

Come dovrebbero le aziende distribuire agenti IA potenti in modo sicuro?

Dovrebbero combinare le protezioni del modello con accesso minimo agli strumenti, sandbox, livelli di approvazione, log di audit, monitoraggio dell'output ed esercitazioni regolari di red team. Anche se il modello sbaglia, l'applicazione circostante dovrebbe limitare i danni.

Strumenti correlati

  • API Grok 4.5: Documentazione ufficiale per utilizzare Grok 4.5 tramite l'API SpaceXAI.
  • Cursor: Ambiente di programmazione IA addestrato e distribuito congiuntamente con Grok 4.5.
  • [Progetto di Sicurezza GenAI OWASP](https://genai.owasp.

org/): Linee guida sulla sicurezza per l'iniezione di prompt, l'abuso dei modelli e i rischi delle applicazioni di IA generativa.

Link correlati

Riassunto

Grok 4.5 è stato ufficialmente rilasciato come modello potente progettato per attività di codifica, agenti e lavoro di conoscenza specialistico. Poche ore dopo, un ricercatore di jailbreak ha affermato che, attraverso una ristrutturazione del quadro accademico e un metodo di induzione progressiva, sarebbe possibile superare le sue barriere di protezione e generare contenuti operativi ad alto rischio.

Il rapporto ha valore di riferimento, ma le sue prove necessitano di una formulazione precisa. Il lancio del modello, l'addestramento congiunto con Cursor, i prezzi e le nuove misure di sicurezza informatica sono tutti documentati ufficialmente. Per quanto riguarda il numero di parametri e l'intera portata del jailbreak, si tratta ancora di affermazioni speculative non verificate da valutazioni tecniche indipendenti.

La lezione più profonda è questa: la scala delle capacità e i punteggi di benchmark non generano naturalmente una sicurezza affidabile. I modelli all'avanguardia necessitano di test avversariali continui, controlli runtime multilivello, accesso limitato agli strumenti e chiari processi di risposta alle emergenze.

Per valutare la sicurezza di un modello, è necessario osservare il suo comportamento sotto pressione avversariale continua – piuttosto che fare affidamento sulle descrizioni fiduciose delle sue misure di protezione nella pagina di lancio.

Grok 4.5 越狱报告:发布当日安全故障暴露出的问题