I browser AI sono il prossimo grande obiettivo degli hacker

I browser basati sull'intelligenza artificiale, come Atlas di OpenAI e Comet di Perplexity, promettono comodità. Tuttavia, comportano anche notevoli rischi per la sicurezza informatica, diventando un nuovo terreno di gioco per gli hacker.

I browser web basati sull'intelligenza artificiale competono con i browser tradizionali come Google Chrome e Brave, con l'obiettivo ditracmiliardi di utenti Internet ogni giorno.

Pochi giorni fa, OpenAI ha rilasciato Atlas, mentre Comet di Perplexity è disponibile da mesi. I browser basati sull'intelligenza artificiale possono digitare e scorrere le pagine. Gli utenti possono ordinargli di prenotare un volo, riassumere le email o persino compilare un modulo.

In sostanza, i browser basati sull'intelligenza artificiale sono progettati per fungere da assistenti digitali e navigare sul web in modo autonomo. Sono considerati il ​​prossimo grande passo avanti nella produttività online.

I ricercatori di sicurezza segnalano falle nei browser AI

Ma la maggior parte dei consumatori non è consapevole dei rischi per la sicurezza che derivano dall'uso di browser basati sull'intelligenza artificiale. Tali browser sono vulnerabili ad attacchi informatici sofisticati attraverso un nuovo fenomeno chiamato "prompt injection".

Gli hacker possono sfruttare i browser web dotati di intelligenza artificiale, accedere alle sessioni di accesso degli utenti ed eseguire azioni non autorizzate. Ad esempio, possono accedere a e-mail, account di social media o persino visualizzare i dati bancari e spostare fondi.

Secondo una recente ricerca di Brave, gli hacker possono incorporare istruzioni nascoste all'interno di pagine web o persino di immagini. Quando un agente di intelligenza artificiale analizza questo contenuto e vede le istruzioni nascoste, può essere indotto a eseguirle come se fossero comandi utente legittimi. I browser web dotati di intelligenza artificiale non sono in grado di distinguere tra istruzioni utente autentiche e false.

coraggiosi hanno sperimentato con Comet di Perplexity e ne hanno testato la reazione all'iniezione di prompt. È emerso che Comet è in grado di elaborare testo invisibile nascosto all'interno degli screenshot. Questo approccio consente agli aggressori di controllare gli strumenti di navigazione ed estrarretraci dati degli utenti.

Gli ingegneri di Brave hanno definito queste vulnerabilità una "sfida sistemica che riguarda l'intera categoria dei browser basati sull'intelligenza artificiale"

L'iniezione tempestiva è difficile da risolvere

I ricercatori e gli ingegneri della sicurezza affermano che l'iniezione di prompt è difficile da risolvere. Questo perché i modelli di intelligenza artificiale non capiscono da dove provengono le istruzioni. Non riescono a distinguere tra prompt autentici e falsi.

I software tradizionali riescono a distinguere tra input sicuri e codice dannoso, ma i modelli linguistici di grandi dimensioni (LLM) hanno difficoltà in questo. Gli LLM elaborano tutto, comprese le richieste degli utenti, il testo del sito web e persino i dati nascosti, e lo trattano come un'unica grande conversazione.

Ecco perché l'iniezione rapida è pericolosa. Gli hacker possono facilmente nascondere istruzioni false all'interno di contenuti apparentemente sicuri e rubare informazioni sensibili.

Le aziende di intelligenza artificiale ammettono che l'iniezione tempestiva è una seria minaccia

Perplexity ha affermato che tali attacchi non si basano su codice o password rubate, ma manipolano il "processo di pensiero" dell'IA. L'azienda ha creato diversi livelli di difesa attorno a Comet per bloccare gli attacchi di prompt injection. Utilizza modelli di machine learning che rilevano le minacce in tempo reale e ha integrato dei meccanismi di controllo che mantengono l'IA concentrata sull'intento dell'utente. Inoltre, il browser richiede la conferma obbligatoria dell'utente per azioni sensibili come l'invio di un'e-mail o l'acquisto di un articolo.

I ricercatori di sicurezza ritengono che i browser basati sull'intelligenza artificiale non dovrebbero essere considerati affidabili per la gestione di account sensibili o dati personali finché non verranno implementati miglioramenti significativi. Gli utenti possono comunque utilizzare i browser web basati sull'intelligenza artificiale, ma senza accesso a strumenti, azioni automatiche disabilitate e dovrebbero evitare di utilizzarli quando accedono a conti bancari, e-mail o app sanitarie.

Il responsabile della sicurezza informatica (CISO) di OpenAI, Dane Stuckey, ha riconosciuto i pericoli dell'iniezione di prompt e ha scritto su X: "Un rischio emergente che stiamo studiando e mitigando con molta attenzione è l'iniezione di prompt, in cui gli aggressori nascondono istruzioni dannose in siti web, e-mail o altre fonti per cercare di ingannare l'agente e indurlo a comportarsi in modi non previsti".

Ha spiegato che l'obiettivo di OpenAI è far sì che le persone "si fidino degli agenti ChatGPT quando utilizzano il loro browser, proprio come ci si fiderebbe del collega o amico più competente, affidabile e attento alla sicurezza". Stuckey ha affermato che il team di OpenAI sta "lavorando duramente per raggiungere questo obiettivo"