In questo articolo
L’intelligenza artificiale è un po’ come la moda: ciclicamente, salta fuori una nuova tendenza che catalizza miliardi di dollari e l’attenzione di tutti. Siamo passati dai chatbot, agli agenti autonomi, ai generatori video che ormai sfidano la realtà. E ora? Ora tocca ai “browser IA”, software che promettono di rivoluzionare la nostra navigazione web con funzionalità “intelligenti”.
OpenAI, per non restare indietro, ha appena annunciato il suo ChatGPT Atlas, un browser che sembra più un tentativo disperato di trovare nuove applicazioni che una vera innovazione. Ma se OpenAI si muove, il mercato segue.
L’ultima moda della Silicon Valley: i browser potenziati dall’IA
L’idea è semplice: integrare un assistente IA direttamente nel browser per “potenziare” l’esperienza online. Atlas di OpenAI si unisce a Comet di Perplexity e all’integrazione di Gemini in Chrome. Promettono di aiutarci a cercare, riassumere, persino a compiere azioni complesse come prenotare voli.
Tutto molto bello, se non fosse che una nuova ricerca getta un’ombra pesantissima su questa tecnologia.
Il tallone d’Achille: la “Prompt Injection”
Il problema si chiama “prompt injection”. In pratica, è una tecnica con cui un malintenzionato può nascondere istruzioni dannose all’interno di contenuti web apparentemente innocui. L’IA del browser, incapace di distinguere il comando legittimo dell’utente da quello nascosto, esegue l’istruzione malevola.
La società Brave, nota per il suo browser attento alla privacy, ha pubblicato un report che dimostra quanto sia facile sfruttare questa vulnerabilità, prendendo come esempio proprio il browser Comet di Perplexity.
L’esperimento di Brave: come uno screenshot può svuotarti il conto
Il browser Comet permette agli utenti di fare uno screenshot di una pagina web e chiedere all’IA integrata di analizzarlo. I ricercatori di Brave hanno dimostrato come questa funzione possa diventare un’arma micidiale.
In un video dimostrativo, viene chiesto all’IA di Comet: “Chi è l’autore?” di una foto visualizzata in uno screenshot. L’IA, invece di rispondere, apre la casella email personale dell’utente e visita un sito web creato apposta dall’hacker. Cos’è successo? Nella foto era nascosto un testo con istruzioni malevole, invisibile all’occhio umano ma perfettamente leggibile per l’IA, che lo ha eseguito senza batter ciglio.
“L’aspetto più spaventoso di queste falle di sicurezza è che un assistente IA può agire con i privilegi autenticati dell’utente”, avverte Brave nel suo report. “Un browser ‘agentico’ dirottato da un sito malevolo può accedere al banking dell’utente, all’email di lavoro o ad altri account sensibili”.
Non è la prima volta che Brave lancia l’allarme. Già in passato avevano dimostrato come un attacco simile potesse potenzialmente dare accesso al conto bancario semplicemente mostrando al browser un post su Reddit.
Un rischio intrinseco, non un caso isolato
Il problema, sottolineano i ricercatori, non è specifico di Comet, ma è intrinseco alla tecnologia stessa dei modelli linguistici di grandi dimensioni (LLM) quando vengono integrati in un browser e gli viene dato il potere di compiere azioni per conto dell’utente.
“Browser potenziati dall’IA che possono compiere azioni per tuo conto sono potenti ma estremamente rischiosi”, avverte il report. Gli attacchi “si riducono a un fallimento nel mantenere confini chiari tra l’input affidabile dell’utente e il contenuto web non affidabile […] permettendo al contempo al browser di compiere azioni potenti per conto dell’utente”.
In altre parole: è molto probabile che anche Atlas di OpenAI, e qualsiasi altro browser IA che verrà, soffra delle stesse, identiche vulnerabilità. Con la differenza che, data la popolarità di OpenAI, il numero di potenziali vittime sarebbe enormemente più alto.
Vale davvero la pena?
Di fronte a questi rischi, la domanda è lecita: abbiamo davvero bisogno di browser “intelligenti”? Le funzionalità offerte (spesso, come abbiamo visto nel caso di Atlas, nemmeno così performanti) valgono il rischio di spalancare le porte dei nostri dati più sensibili a chiunque sia abbastanza abile da nascondere un comando malevolo in un’immagine o in una pagina web?
Ancora una volta, la corsa all’IA sembra mettere in secondo piano la sicurezza e il buon senso, pur di lanciare sul mercato l’ultima novità “rivoluzionaria”. Ma forse, prima di affidare le chiavi della nostra vita digitale a un’intelligenza artificiale, sarebbe il caso di chiedersi se non stiamo costruendo serrature incredibilmente complesse, ma con la porta già sfondata.
