I nuovi browser AI possono rubarti soldi e dati senza che tu te ne accorga

I cosiddetti browser AI agentici, strumenti capaci di navigare autonomamente sul web, gestire email, compilare form, fare acquisti online o controllare account, stanno attirando grande interesse nel settore tecnologico. Prodotti come Comet di Perplexity, attualmente il principale esempio in questo ambito, o le nuove funzionalità di Microsoft Edge tramite Copilot, insieme al progetto in via di sviluppo di OpenAI, nome in codice “Aura”, rappresentano una nuova frontiera per l’interazione tra utenti e internet. Uno studio ha però dimostrato come questi strumenti siano stati lanciati con protezioni insufficienti, risultando vulnerabili a schemi fraudolenti sia noti che inediti.

L’analisi realizzata da Guardio, sviluppatore di estensioni per browser dedicate alla protezione da phishing, furti d’identità e malware, si è concentrata in particolare su Comet, con risultati che sollevano qualche preoccupazione. I test hanno rivelato che i browser AI agentici possono essere ingannati con relativa facilità attraverso tattiche di phishing, prompt injection e acquisti fraudolenti su negozi online falsi. Questo significa che gli attaccanti non devono più puntare a ingannare migliaia di utenti diversi, ma possono concentrarsi sullo sfruttamento di un singolo modello AI, con il rischio che la truffa diventi replicabile su larga scala.

In un primo esperimento, ai ricercatori è bastato creare un falso sito Walmart tramite il servizio Lovable per convincere Comet a procedere con l’acquisto di un Apple Watch. Il modello ha analizzato la pagina senza verificarne l’autenticità, ha completato l’iter fino al checkout, inserendo automaticamente le informazioni sensibili come indirizzo e dati della carta di credito, e concludendo l’operazione senza alcuna conferma da parte dell’utente. Una situazione che, in scenari reali, potrebbe facilmente verificarsi tramite tecniche come SEO poisoning o malvertising.

Nel secondo test, Guardio ha creato un finto messaggio di Wells Fargo inviato da un account ProtonMail, con un link verso una pagina di phishing attiva. Anche in questo caso, Comet ha trattato l’email come una comunicazione valida della banca, cliccando sul collegamento, caricando la pagina fasulla e chiedendo all’utente di inserire le proprie credenziali. In sostanza, il browser AI non è stato in grado di distinguere il messaggio autentico da quello fraudolento.

Un ulteriore scenario ha riguardato un caso di prompt injection, in cui i ricercatori hanno nascosto istruzioni dannose all’interno del codice sorgente di una finta pagina CAPTCHA. Comet ha interpretato queste istruzioni come comandi legittimi, cliccando sul pulsante della falsa verifica CAPTCHA e avviando di conseguenza il download di un file pericoloso.

Secondo i ricercatori di sicurezza di Guardio, questi tre esempi non rappresentano che una minima parte delle possibili vulnerabilità legate ai browser agentici, destinati a sostituire i tradizionali modelli di attacco incentrati sull’utente umano. Come dichiarato dagli stessi ricercatori: “Nell’era "AI contro AI", i truffatori non hanno bisogno di ingannare milioni di persone diverse; basta riuscire a compromettere un solo modello di intelligenza artificiale. Una volta identificata la falla, lo stesso exploit può essere sfruttato all’infinito. Inoltre, dato che gli attaccanti hanno accesso agli stessi modelli delle vittime, possono addestrare le proprie AI contro quelle legittime fino a perfezionare le tecniche di attacco.

Alla luce di questi scenari, Guardio consiglia di non affidare ancora compiti particolarmente sensibili come le operazioni bancarie, gli acquisti online o l'accesso alle email a questo tipo di strumenti, finché la loro sicurezza non raggiungerà un livello di maggiore maturità. E' inoltre consigliabile evitare di fornire agli agenti AI le proprie credenziali, dati finanziari o informazioni personali, preferendo l’inserimento manuale come forma di ultima verifica e di barriera contro i rischi.