// TOM'S HARDWARE ITALIA — INTELLIGENZA ARTIFICIALE
Un nuovo attacco inganna i browser AI e mette a rischio i dati
LayerX ha mostrato un nuovo attacco, chiamato BioShocking, capace di mandare in crisi i controlli di sicurezza dei browser AI. Questi software possono leggere pagine, interagire con servizi web e compiere azioni per conto dell'utente, quindi un jailbreak riuscito può tradursi in accesso a codice privato, credenziali e dati personali.
La prova di concetto sfrutta un sito malevolo costruito come un gioco. Al browser viene chiesto di risolvere un puzzle, ma le regole premiano risposte volutamente sbagliate, come considerare corretta l'affermazione 2 + 2 = 5. Quando il modello accetta quel contesto alterato, inizia a trattare come valide istruzioni che normalmente dovrebbero essere respinte.
Il meccanismo colpisce il modo in cui un LLM interpreta il contesto: se l'ambiente gli viene presentato come una realtà alternativa, le restrizioni possono perdere efficacia. In questa fase l'attacco inserisce richieste più pericolose, tra cui copiare contenuti da un campo codice o recuperare informazioni che l'assistente non dovrebbe consegnare a una pagina web.
Il tema si inserisce nello stesso filone di cautela già emerso quando Microsoft ha invitato a non fidarsi troppo dell'AI: delegare operazioni pratiche a un assistente significa spostare il rischio dal testo generato alle azioni eseguite. Con un browser agentico, una prompt injection non resta confinata alla conversazione, ma può attraversare pagine, account e strumenti locali.
Nei test citati dalla ricerca, la tecnica ha funzionato contro sei agenti diversi, inclusi ChatGPT Atlas, Comet, Fellou, Genspark, Sigma e Claude Chrome plugin. L'aspetto più delicato è la fusione tra piano di controllo e piano dati: il browser vede la pagina, l'agente interpreta le istruzioni e lo stesso sistema può accedere a risorse che nei browser tradizionali restano separate.
La separazione tra siti, email, repository e credenziali è uno dei pilastri della sicurezza web moderna. Un assistente AI con ampi permessi può però fare da ponte tra ambienti che dovrebbero restare isolati, soprattutto se ha accesso al password manager o a sessioni già autenticate. In quello scenario, l'attaccante non deve violare direttamente ogni servizio: può provare a convincere l'agente a consegnare ciò che vede.
La dimostrazione non equivale ancora a un attacco completo e invisibile: il gioco e le istruzioni erano visibili all'utente, e non è chiaro quanto fosse automatizzata l'esfiltrazione remota dei dati. Resta però un segnale netto sui limiti dei guardrail reattivi: aggiungere regole dopo ogni abuso non risolve il problema strutturale di agenti che combinano navigazione, memoria, permessi e azioni reali.