Browser basati sull'intelligenza artificiale come Atlas di OpenAI e Comet di Perplexity promettono praticità. Ma comportano gravi rischi per la sicurezza informatica, creando un nuovo terreno fertile per gli hacker.
I browser web basati sull'intelligenza artificiale competono con i browser tradizionali come Google Chrome e Brave, con l'obiettivo ditracmiliardi di utenti Internet ogni giorno.
Pochi giorni fa, OpenAI ha rilasciato Atlas, mentre Comet di Perplexity è disponibile da mesi. I browser basati sull'intelligenza artificiale possono digitare e scorrere le pagine. Gli utenti possono ordinargli di prenotare un volo, riassumere le email o persino compilare un modulo.
In sostanza, i browser basati sull'intelligenza artificiale sono progettati per fungere da assistenti digitali e navigare sul web in modo autonomo. Sono considerati il prossimo grande passo avanti nella produttività online.
I ricercatori di sicurezza segnalano falle nei browser AI
Ma la maggior parte dei consumatori non è consapevole dei rischi per la sicurezza che derivano dall'uso di browser basati sull'intelligenza artificiale. Tali browser sono vulnerabili ad attacchi informatici sofisticati attraverso un nuovo fenomeno chiamato "prompt injection".
Gli hacker possono sfruttare i browser web dotati di intelligenza artificiale, accedere alle sessioni di accesso degli utenti ed eseguire azioni non autorizzate. Ad esempio, possono accedere a e-mail, account di social media o persino visualizzare i dati bancari e spostare fondi.
Secondo una recente ricerca di Brave, gli hacker possono incorporare istruzioni nascoste all'interno di pagine web o persino di immagini. Quando un agente di intelligenza artificiale analizza questo contenuto e vede le istruzioni nascoste, può essere indotto a eseguirle come se fossero comandi utente legittimi. I browser web dotati di intelligenza artificiale non sono in grado di distinguere tra istruzioni utente autentiche e false.
di Brave hanno sperimentato Comet di Perplexity e ne hanno testato la reazione all'iniezione di prompt. Si è scoperto che Comet elaborava testo invisibile nascosto negli screenshot. Questo approccio consente agli aggressori di controllare gli strumenti di navigazione ed estrarre trac i dati degli utenti.
Gli ingegneri di Brave hanno definito queste vulnerabilità una "sfida sistemica che riguarda l'intera categoria dei browser basati sull'intelligenza artificiale"
L'iniezione tempestiva è difficile da risolvere
I ricercatori e gli ingegneri della sicurezza affermano che l'iniezione di prompt è difficile da risolvere. Questo perché i modelli di intelligenza artificiale non capiscono da dove provengono le istruzioni. Non riescono a distinguere tra prompt autentici e falsi.
I software tradizionali riescono a distinguere tra input sicuri e codice dannoso, ma i modelli linguistici di grandi dimensioni (LLM) hanno difficoltà in questo. Gli LLM elaborano tutto, comprese le richieste degli utenti, il testo del sito web e persino i dati nascosti, e lo trattano come un'unica grande conversazione.
Ecco perché l'iniezione rapida è pericolosa. Gli hacker possono facilmente nascondere istruzioni false all'interno di contenuti apparentemente sicuri e rubare informazioni sensibili.
Le aziende di intelligenza artificiale ammettono che l'iniezione tempestiva è una seria minaccia
Perplexity ha affermato che tali attacchi non si basano su codice o password rubate, ma manipolano il "processo di pensiero" dell'IA. L'azienda ha costruito diversi livelli di difesa attorno a Comet per bloccare gli attacchi di iniezione rapida. Utilizza modelli di apprendimento automatico che rilevano le minacce in tempo reale e ha integrato prompt di sicurezza che mantengono l'IA concentrata sulle intenzioni dell'utente. Inoltre, il browser richiede la conferma obbligatoria dell'utente per azioni sensibili come l'invio di un'e-mail o l'acquisto di un articolo.
I ricercatori di sicurezza ritengono che i browser basati sull'intelligenza artificiale non dovrebbero essere considerati affidabili per la gestione di account sensibili o dati personali finché non verranno implementati miglioramenti significativi. Gli utenti possono comunque utilizzare i browser web basati sull'intelligenza artificiale, ma senza accesso a strumenti, azioni automatiche disabilitate e dovrebbero evitare di utilizzarli quando accedono a conti bancari, e-mail o app sanitarie.
Il Chief Information Security Officer (CISO) di OpenAI, Dane Stuckey, ha riconosciuto i pericoli dell'iniezione rapida e ha scritto su X: "Un rischio emergente che stiamo studiando e mitigando attentamente sono le iniezioni rapide, in cui gli aggressori nascondono istruzioni dannose in siti Web, e-mail o altre fonti per cercare di indurre l'agente a comportarsi in modi involontari".
Ha spiegato che l'obiettivo di OpenAI è far sì che le persone "si fidino degli agenti ChatGPT quando utilizzano il loro browser, proprio come ci si fiderebbe del collega o amico più competente, affidabile e attento alla sicurezza". Stuckey ha affermato che il team di OpenAI sta "lavorando duramente per raggiungere questo obiettivo"
