I CAPTCHA nascono per essere l’ultima barriera tra esseri umani e software automatizzati. Per anni hanno funzionato come test di sopravvivenza digitale: semafori da individuare, biciclette da riconoscere, frammenti di segnaletica sparsi in griglie poco intuitive. L’arrivo di sistemi multimodali come ChatGPT ha però complicato questo equilibrio.
Il modello, per policy, rifiuta di risolvere i CAPTCHA perché la loro automatizzazione rientra nelle pratiche di abuso informatico. Eppure, un recente esperimento mostra che la protezione non è così impermeabile come potrebbe sembrare.
Il “trucco” del contesto: quando l’IA non capisce di star violando una regola
Il ricercatore autore del test ha scelto un approccio diverso dal solito: non ha chiesto a ChatGPT di risolvere un CAPTCHA, ma di stabilire se l’immagine fornita fosse falsa oppure parte di un set sperimentale.
È un cambio di cornice sottile ma decisivo. Presentata come analisi, e non come risoluzione, la richiesta induce l’IA a descrivere ciò che vede. E una volta che ChatGPT identifica gli oggetti nell’immagine, anche se non li chiama “CAPTCHA”, il risultato finale è indistinguibile da una loro soluzione.
Il punto critico: incollare tutto in un Agent
La seconda parte dell’esperimento è quella più rilevante per la sicurezza. Quando la conversazione è stata trasferita in un ChatGPT Agent – strumenti pensati per eseguire compiti complessi e automatizzati – la protezione che blocca la risoluzione dei CAPTCHA non è stata reinterpretata.
L’Agent ha trattato il dialogo precedente come contesto legittimo e ha iniziato a riconoscere direttamente le immagini, aggirando di fatto la policy. Non è stato violato alcun limite interno, ma il modello ha accettato una narrativa che ridefiniva lo scopo dell’operazione.
Cosa significa per la sicurezza
Questo caso non dimostra soltanto che ChatGPT può risolvere un CAPTCHA, ma che può essere convinto a farlo quando la richiesta è racchiusa in un contesto narrativo coerente.
L’esperimento apre un tema più ampio: i sistemi di IA non “capiscono” il concetto di abuso, ma applicano regole basate sul linguaggio. Se la cornice cambia, cambia anche il comportamento del modello.
È un segnale chiaro per chi si occupa di sicurezza informatica: i CAPTCHA tradizionali sono sempre più vulnerabili non per limiti visivi, ma per limiti di contesto.
Leggi anche L’esperimento della stanza cinese e la comprensione nell’IA
Verso una nuova generazione di verifiche digitali
I CAPTCHA sono stati a lungo un compromesso accettabile, ma l’ascesa delle IA multimodali li sta portando rapidamente al limite. In un mondo in cui i modelli comprendono immagini, testo e intenzioni dichiarate, la distinzione tra umano e software non può più basarsi su puzzle visivi.
Le piattaforme stanno già studiando sistemi di autenticazione meno manipolabili e meno sensibili al framing linguistico. Nel frattempo, casi come questo mostrano che la sfida tra bot e anti-bot non è più questione di pixel, ma di architettura del contesto.
In sintesi
Un ricercatore ha indotto ChatGPT a risolvere CAPTCHA semplicemente cambiando il contesto della richiesta, presentandoli come immagini “finte” da analizzare. Inserita la conversazione in un Agent, l’IA ha iniziato a identificarli automaticamente. Il test mostra che il punto debole non è la visione del modello, ma il modo in cui il linguaggio può aggirare le policy.