Un ricercatore nasconde un'istruzione in un commento Reddit. Un utente chiede al suo browser AI di riassumere la discussione. L'AI legge la trappola, naviga sull'account dell'utente, estrae l'email, intercetta un codice OTP da Gmail e spedisce tutto a un server esterno. Zero clic sospetti, zero malware scaricato. Benvenuti nell'era dei browser agentici.
Un anno di attacchi documentati: la timeline 2025
Partiamo dai fatti, perché su questo tema il sensazionalismo abbonda e le prove scarseggiano. Il 2025 è stato l'anno in cui i browser AI agentici — Perplexity Comet, ChatGPT Atlas, Opera Neon, Google Gemini in Chrome, Brave Leo, The Browser Company Dia — sono passati da prototipi a prodotti mainstream. Ed è anche l'anno in cui i ricercatori di sicurezza hanno dimostrato, con exploit funzionanti e ripetibili, che l'intera architettura ha un problema strutturale.
Il report year-end di Wiz traccia una timeline impietosa. A febbraio 2025 compaiono i primi attacchi di esfiltrazione dati a zero interazione: istruzioni nascoste nel contenuto web che rubano dati privati senza che l'utente faccia nulla. Ad agosto i ricercatori dimostrano che i browser AI non sanno riconoscere il phishing — si fanno fregare da finti e-commerce e completano acquisti su storefront fraudolenti. A ottobre esplodono gli attacchi di hijacking one-click e memory poisoning. A dicembre arrivano le task injection, dove l'attaccante convince l'agente che un sotto-task malevolo è parte del suo lavoro legittimo.
CometJacking: l'anatomia di un attacco reale
Il caso più documentato è CometJacking, scoperto dai ricercatori di LayerX e divulgato nell'agosto 2025. L'attacco colpisce Perplexity Comet e sfrutta un meccanismo tanto semplice quanto devastante: i parametri query dell'URL.
Il funzionamento, analizzato nel dettaglio da LayerX