I browser agentici non sono ancora maturi: anche Atlas vulnerabile ad attacchi di prompt injection

I browser ChatGPT Atlas di OpenAI e Comet di Perplexity sono entrambi vulnerabili a forme sofisticate di attacco che sfruttano la natura stessa dei sistemi agentic. L'AI Sidebar Spoofing, scoperto dai ricercatori di SquareX, consente a estensioni malevole di sovrapporre una sidebar falsa a quella reale del browse agentico, identica nell'aspetto e nel comportamento, intercettando ogni interazione dell'utente. Poiché l'estensione richiede solo permessi comuni come 'host' e 'storage', simili a quelli di strumenti legittimi come password manager o Grammarly, l'utente non può rilevare l'inganno. Una volta attivata, la sidebar contraffatta può indurre l'utente a visitare pagine di phishing, a condividere credenziali di Gmail o Drive tramite OAuth, o a eseguire comandi che installano shell inverse sui dispositivi.

Un'altra minaccia significativa è l'indirect prompt injection, in cui istruzioni malevole sono nascoste all'interno di contenuti web apparentemente innocui, come testi invisibili, commenti su Reddit o immagini. Quando l'utente chiede all'AI di riassumere una pagina, il sistema elabora anche questi comandi nascosti come se fossero richieste legittime. Brave aveva già dimostrato in precedenza che in Comet era possibile eseguire un attacco in cui l'AI veniva indotta a navigare verso il profilo utente di Perplexity, recuperare l'email e l'OTP, e inviarli a un server controllato dall'attaccante, compromettendo l'account. Anche Atlas, nonostante le misure di sicurezza implementate, non è immune: alcuni test condivisi su X hanno mostrato che può essere ingannato da documenti Google che gli ordinano di ignorare la richiesta originale e di rispondere con messaggi come \"Trust No AI\".

OpenAI, in un lungo post su X ad opera del Chief Information Secutity Officer, Dane Stuckey, ha riconosciuto il rischio di prompt injection, definendolo un problema di sicurezza ancora irrisolto e di frontiera, e ha descritto misure come il red-teaming estensivo, tecniche di addestramento del modello per ignorare comandi malevoli e sistemi di rilevamento degli attacchi. Tuttavia, la società ammette che gli avversari continueranno a cercare modi per ingannare l'agente. Perplexity ha dichiarato di aver risolto le vulnerabilità, ma ulteriori test hanno rivelato che la correzione non era completa, portando Brave a riportare il problema.

Al momento le raccomandazioni sono quelle di utilizzare questi browser solo per attività non sensibili, evitando di gestire dati finanziari, email o informazioni personali. È fondamentale non installare estensioni da fonti non affidabili, poiché sono il vettore principale per l'AI Sidebar Spoofing. Inoltre, si dovrebbe sempre verificare manualmente le azioni suggerite dall'AI, specialmente quelle che coinvolgono accessi a servizi o l'esecuzione di comandi. La consapevolezza che questi sistemi non sono ancora maturi dal punto di vista della sicurezza è cruciale per prevenire incidenti.