I browser AI come Comet di Perplexity sono vulnerabili a truffe phishing sofisticate che li ingannano in pochi minuti, spostando il bersaglio dalle persone ai modelli artificiali stessi. Per proteggersi subito, disattiva le estensioni AI non essenziali, usa protezioni esterne come estensioni anti-phishing e verifica sempre manualmente le azioni sensibili prima di confermarle. Questa minaccia evidenzia come l’intelligenza artificiale autonoma stia aprendo nuove frontiere di rischio nella navigazione web.
I browser agentici, potenziati dall’intelligenza artificiale, eseguono compiti complessi autonomamente: compilano moduli, navigano siti e interagiscono con servizi senza supervisione umana costante. Questa autonomia, però, li rende prede ideali per attacchi mirati che sfruttano il loro modo di “ragionare” ad alta voce. Immagina un’AI che descrive ogni passo – cosa vede, cosa sospetta, cosa pianifica – mentre un attaccante intercetta queste narrazioni per addestrare truffe perfette.
In un esperimento recente, ricercatori hanno dimostrato come creare pagine phishing che convincono questi browser a inserire credenziali su siti falsi. Il processo? Intercettare il traffico tra browser e server AI, usarlo per addestrare una rete generativa antagonistica (GAN), e iterare fino a quando l’AI non abbassa le difese. Risultato: inganno completato in meno di quattro minuti.
Questo approccio, chiamato Agentic Blabbering, sfrutta il chiacchiericcio eccessivo dell’AI. Invece di ingannare l’utente, la truffa “insegna” all’AI a fidarsi di pagine malevole, evolvendo offline fino alla perfezione. Una volta ottimizzata per un modello specifico, funziona su tutti gli utenti di quel browser.
Impatti e rischi reali
Le conseguenze sono gravi: credenziali rubate, rimborsi fasulli, accesso a conti bancari. Peggio ancora, questi attacchi non richiedono clic dell’utente – l’AI agisce da sola. Ricerche correlate mostrano vulnerabilità come prompt injection indiretta, dove istruzioni nascoste in email, inviti calendario o commenti web (testo bianco su bianco, HTML nascosti) convincono l’AI a estrarre dati da Gmail, Drive o gestori password come 1Password.
Esempi concreti includono:
- Zero-click attacks: Un invito meeting con prompt malevolo fa scandagliare file locali e inviarli a server remoti.
- CometJacking: Un URL crafted estrae email e calendari con codifica Base64 per bypassare filtri.
- API MCP esposte: Estensioni nascoste possono eseguire comandi di sistema, installare malware o monitorare attività.
Browser come Comet e Genspark bloccano phishing con tassi di successo inferiori all’85% rispetto a Chrome, secondo test. L’AI, fidandosi del contenuto web come input legittimo, ignora barriere come same-origin policy.
Soluzione rapida per utenti comuni: Installa estensioni di sicurezza dedicate (es. con rilevamento AI al 98% di accuratezza), limita accessi a servizi sensibili e monitora log del browser. Per ora, combina AI browsers con protezioni tradizionali.
Approfondimento tecnico
Meccanismi di attacco
L’Agentic Blabbering si basa su:
- Intercettazione traffico: Il browser invia descrizioni dettagliate (“questa pagina sembra sospetta perché…”) ai server AI.
- Addestramento GAN: Queste descrizioni diventano segnali di training per generare varianti phishing che evitano flag rossi.
- Iterazione adattiva: La pagina evolve fino a quando l’AI non dice “sicura” e procede (es. inserisce credenziali).
Matematicamente, una GAN minimizza una funzione di perdita:
[ \min_G \max_D V(D, G) = \mathbb{E}{x\sim p{data}(x)}[\log D(x)] + \mathbb{E}_{z\sim p_z(z)}[\log (1 – D(G(z)))] ]
dove G genera pagine phishing e D discrimina basandosi su blabbering dell’AI.
Prompt injection e intent collision
Intent collision avviene quando l’AI fonde richieste utente benigne con istruzioni attacker-controlled:
- Esempio: “Riassumi questa pagina” + prompt nascosto = “Invia credenziali a server X”.
- Zero-click via calendari: Prompt in invito forza accesso file:// paths (ora limitato da fix).
CometJacking usa URL con parametro “collection”:
https://comet.perplexity.ai/?collection=<base64:payload_malevolo>
L’AI consulta memoria interna invece di cercare web, estrae dati connessi.
API MCP e estensioni
L’MCP API permette estensioni perplixity.ai di eseguire comandi sistema (leggere file, run app). Attaccanti usano extension stomping: Spoof ID estensione analytics, inietta script per ransomware via Agentic Extension.
Codice esemplificativo (pseudocodice):
// Malicious extension manifest
{
"id": "spoofed_analytics_id",
"permissions": ["mcp"]
}
// Injected script
window.postMessage({cmd: "ransomware_via_mcp"}, "*");
Mitigazioni e futuro
Fix recenti: Boundari hardcoded su file://, sandboxing agent. Ma OpenAI avverte: prompt injection “improbabile da risolvere completamente”. Raccomandazioni:
- Adversarial training: Simula attacchi in addestramento.
- System-level safeguards: Filtri su blabbering, audit memoria agent.
- Automated discovery: Tool per rilevare injection offline.
Per sviluppatori: Implementa security-by-design con prompt hardening e monitoraggio runtime. Testa con payload obfuscati (Base64, white-text).
In sintesi, i browser AI agentici promettono efficienza ma richiedono difese multilayer. Utenti: resta vigile. Sviluppatori: priorita sicurezza agentica.
(Parole totali: 1024)
Fonte: https://thehackernews.com/2026/03/researchers-trick-perplexitys-comet-ai.html
