Nelle ultime settimane è emersa una criticità che riguarda Comet, il browser con assistente AI integrato di Perplexity. Il problema nasce da come l’assistente elabora le pagine. Quando gli chiedi di riassumere o “fare cose” su un sito, l’AI non sempre distingue in modo netto tra istruzioni dell’utente e testo presente nella pagina. Risultato: se il sito contiene istruzioni malevole nascoste (nei metadati, in commenti HTML invisibili, in attributi ARIA/alt, o con CSS che mimetizzano il testo), l’assistente può eseguirle come fossero comandi.
Questo attacco è noto come indirect prompt injection: non si cerca di convincere direttamente l’AI con la chat, ma si infetta la pagina che l’AI leggerà. Con un payload ben costruito, l’agente può essere spinto a compiere azioni non richieste—aprire tab sensibili, cercare codici OTP nelle email, guidare l’utente in un pagamento fraudolento, oppure compilare form con dati salvati nel browser. In altri scenari dimostrativi, gli aggressori hanno perfino concatenato passaggi per ottenere token di accesso o codici di verifica sfruttando tab già loggati e workflow “auto-pilotati” dall’assistente.
Perché i browser con agenti AI sono più esposti
I browser tradizionali sono protetti da confini chiari (cookie separati, same-origin policy, permessi per microfono/camera, ecc.). Un agente AI però tende a unificare contesti: legge più tab, sintetizza, esegue sequenze di azioni, “capisce” e agisce in modo trasversale. È proprio questa automazione multi-sito a creare la nuova superficie d’attacco. Il prompt malevolo in una pagina A può indurre l’AI a fare qualcosa nella pagina B, dove magari sei autenticato.
Inoltre, per rendere l’esperienza fluida, molti agenti ricevono ampi permessi (lettura dei contenuti, compilazione campi, click simulati). Se non c’è sanitizzazione severa tra contenuto web e “istruzioni per l’agente”, il salto da “riassumi la pagina” a “esegui questa azione a nome mio” può avvenire in modo silenzioso. E a quel punto diventano possibili phishing assistiti, esfiltrazione di dati e acquisti non voluti. Dopo le segnalazioni, sono state introdotte mitigazioni per ridurre l’impatto. È un primo passo utile, ma la natura evolutiva degli attacchi suggerisce prudenza.
Nel frattempo, ecco buone pratiche concrete per usare in sicurezza un browser con AI integrata:
Riduci il perimetro: evita di tenere aperti, insieme, tab con email, banking o dashboard amministrative quando chiedi all’AI di “interagire” con altri siti.
Preferisci il “solo lettura”: se possibile, limita l’agente a riassumere senza consentire azioni (click, compilazioni, login).
Conferme forti: attiva sempre i prompt di conferma per pagamenti, invii di form e accessi; niente esecuzioni automatiche “al buio”.
Profili separati: crea un profilo browser dedicato all’AI, distinto da quello con cui gestisci posta e conti; usa sessioni o container isolati.
2FA robusta: privilegia chiavi di sicurezza o passkey rispetto agli OTP via email/SMS (che l’agente potrebbe leggere).
Permessi minimi: rivedi estensioni e autorizzazioni dell’agente, disattiva l’accesso ai siti più sensibili; usa liste di allow-list per i domini su cui l’AI può agire.
Occhio ai contenuti “strani”: se noti testi nascosti, pagine sovraccariche di istruzioni o comportamenti insoliti dell’AI, interrompi la sessione.
