Un ricercatore nasconde un'istruzione in un commento Reddit. Un utente chiede al suo browser AI di riassumere la discussione. L'AI legge la trappola, naviga sull'account dell'utente, estrae l'email, intercetta un codice OTP da Gmail e spedisce tutto a un server esterno. Zero clic sospetti, zero malware scaricato. Benvenuti nell'era dei browser agentici.
Un anno di attacchi documentati: la timeline 2025
Partiamo dai fatti, perché su questo tema il sensazionalismo abbonda e le prove scarseggiano. Il 2025 è stato l'anno in cui i browser AI agentici — Perplexity Comet, ChatGPT Atlas, Opera Neon, Google Gemini in Chrome, Brave Leo, The Browser Company Dia — sono passati da prototipi a prodotti mainstream. Ed è anche l'anno in cui i ricercatori di sicurezza hanno dimostrato, con exploit funzionanti e ripetibili, che l'intera architettura ha un problema strutturale.
Il report year-end di Wiz traccia una timeline impietosa. A febbraio 2025 compaiono i primi attacchi di esfiltrazione dati a zero interazione: istruzioni nascoste nel contenuto web che rubano dati privati senza che l'utente faccia nulla. Ad agosto i ricercatori dimostrano che i browser AI non sanno riconoscere il phishing — si fanno fregare da finti e-commerce e completano acquisti su storefront fraudolenti. A ottobre esplodono gli attacchi di hijacking one-click e memory poisoning. A dicembre arrivano le task injection, dove l'attaccante convince l'agente che un sotto-task malevolo è parte del suo lavoro legittimo.
CometJacking: l'anatomia di un attacco reale
Il caso più documentato è CometJacking, scoperto dai ricercatori di LayerX e divulgato nell'agosto 2025. L'attacco colpisce Perplexity Comet e sfrutta un meccanismo tanto semplice quanto devastante: i parametri query dell'URL.
Iscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
Vulnerabilità plugin WordPress 2026: patch o aspetti lo 0day?
900k siti WordPress esposti a RCE critico, 500k a file read su wp-config.php. Se ospiti WordPress in homelab o su VPS, ecco cosa fare nei prossimi 30 minuti.
, segue cinque fasi. L'attaccante costruisce un URL con istruzioni nascoste nei parametri. Quando l'utente lo apre in Comet, l'AI interpreta quei parametri come comandi legittimi, accede alla memoria dell'utente — email, calendario, contatti connessi tramite i connettori — codifica il tutto in base64 per
aggirare i controlli anti-esfiltrazione
di Perplexity, e spedisce il payload a un server esterno tramite POST request.
Perplexity ha ricevuto il report il 27 agosto 2025. La risposta? "No security impact", classificato come non applicabile. I ricercatori di Brave, che hanno condotto test indipendenti, confermano che la vulnerabilità non è stata completamente mitigata nemmeno settimane dopo la segnalazione.
Non solo Comet: Atlas, Neon e il pattern che si ripete
Se pensate che sia un problema isolato di Perplexity, i fatti dicono il contrario.
ChatGPT Atlas: la memoria avvelenata
I ricercatori di LayerX hanno documentato "Tainted Memories", un attacco CSRF contro Atlas che permette di avvelenare la memoria persistente dell'AI. Una volta iniettate, le istruzioni malevole influenzano tutte le sessioni future dell'utente. OpenAI ha tentato di rispondere con un sistema di red-teaming automatizzato: un bot addestrato con reinforcement learning che simula attacchi. Ma il CISO di OpenAI ha definito la prompt injection "un problema di sicurezza di frontiera, irrisolto", e a dicembre 2025 l'azienda ha ammesso pubblicamente su TechCrunch che il problema "probabilmente non sarà mai completamente risolto".
Opera Neon: comandi invisibili nell'HTML
Opera Neon processa elementi HTML con opacità zero — completamente invisibili all'utente — come comandi per l'AI. È sufficiente inserire uno span nascosto in qualsiasi pagina web per iniettare istruzioni. Nei test interni, Opera stessa ha ammesso che le sue mitigazioni bloccano la prompt injection solo nel 90% dei casi. Il restante 10% va a segno.
Comet e l'attacco MCP: dal browser al vostro disco
Come se non bastasse, i ricercatori di PointGuard AI hanno documentato una vulnerabilità nel Model Context Protocol (MCP) di Comet che apre la strada al takeover completo del dispositivo. L'attacco combina prompt injection e XSS per orchestrare azioni a livello di sistema operativo tramite l'estensione agentica: esfiltrazione dati, cifratura file, deployment di backdoor persistenti. Tutto alla "velocità dell'AI", prima che un EDR tradizionale riesca a lanciare un allarme.
Perché non si può fixare (e chi lo sa sta alla larga)
Il problema non è che questi prodotti siano "giovani" e miglioreranno col tempo. Il problema è architetturale. Un Large Language Model non distingue tra dati e istruzioni — tutto è testo, tutto è prompt. Per un programma tradizionale, codice e dati occupano spazi separati e protetti. Per un LLM, la pagina web che analizza diventa parte delle istruzioni che ne guidano il comportamento. Chi controlla il contenuto della pagina controlla, in parte, l'AI.
I ricercatori di Alice (ex ActiveFence) hanno dimostrato quanto sia facile sfruttare questa debolezza: div nascosti in HTML, testo nelle proprietà alt delle immagini, testo bianco su sfondo bianco in Google Docs. Hanno persino scoperto che gli utenti free di Comet avevano guardrail più deboli dei Pro — la sicurezza venduta come feature premium.
I vendor hanno converguto su un modello "defense-in-depth" con conferme human-in-the-loop, isolamento architetturale, LLM secondari che verificano le azioni proposte, red-teaming con RL. Ma l'esperto di sicurezza Kane Narraway, intervistato nel report Wiz, ha sintetizzato la realtà in una frase: "Bloccateli oggi. Ma preparate un piano per quando non sarà più un'opzione."
Cosa fare adesso (sul serio)
Non vi dirò di non usare mai un browser AI — sarebbe ipocrita e irrealistico. Ma ci sono regole minime dettate dal buon senso e confermate dai ricercatori:
Profilo browser dedicato: usate i browser AI in un profilo isolato, senza credenziali salvate, senza sessioni bancarie aperte, senza connettori a email o calendario.
Mai disattivare le conferme: se il browser chiede approvazione per un'azione, non automatizzatela. Quel popup è l'unico checkpoint tra voi e un attacco.
Compiti a basso rischio: ricerche generiche, riassunti di articoli pubblici, brainstorming. Per l'home banking, l'email aziendale o qualsiasi cosa con credenziali, browser tradizionale.
Aggiornate sempre: le mitigazioni non risolvono il problema, ma alzano la soglia di difficoltà per gli attaccanti.
Il verdetto
I browser AI agentici non sono una minaccia teorica — sono una vulnerabilità documentata con exploit pubblici e ripetibili. LayerX, Brave, PointGuard AI, Alice e Wiz hanno tutti pubblicato prove concrete. OpenAI ha ammesso che il problema è irrisolvibile con l'architettura attuale. Perplexity ha ignorato i report di sicurezza.
La prossima volta che Comet vi chiede di "fare tutto al posto vostro", chiedetevi chi altro potrebbe dargli istruzioni oltre a voi. La risposta, ad oggi, è: chiunque sappia nascondere una riga di testo in una pagina web.
