Non è passato nemmeno il tempo di abituarci all’idea che OpenAI potesse portarci un browser con agenti AI che navigano al posto nostro, che già spunta il primo, serio grattacapo. ChatGPT Atlas — il browser che dovrebbe rivoluzionare l’accesso alle informazioni — si è imbattuto in un bug scoperto dalla società di cybersicurezza NeuralTrust, e purtroppo non è uno di quei difettucci da poco: si tratta di una classica prompt injection, ossia la possibilità di ingannare l’agente facendogli eseguire comandi che non dovrebbe.
Quando l’AI naviga per noi: ChatGPT Atlas e la falla che spaventa
Come funziona, in parole semplici? L’attacco sfrutta il campo dove normalmente inseriremmo un indirizzo web. Invece di un URL legittimo, l’attaccante fa incollare alla vittima una stringa che somiglia a un link ma contiene istruzioni camuffate in linguaggio naturale. Atlas prova a “visitare” l’indirizzo, ma quando si accorge che non è un vero sito passa a interpretare il testo contenuto nella stringa come un comando da eseguire. È proprio questa transizione — dall’intenzione di aprire un sito all’esecuzione di un testo incorporato — che apre la porta al jailbreak: l’agente abbassa le sue difese e compie azioni non autorizzate.
Il problema è tanto semplice quanto pericoloso perché tutto ciò che serve è convincere qualcuno a incollare quella stringa nella chat laterale di Atlas. Un bottone “Copy link” apparentemente innocuo può diventare trappola: invece del collegamento desiderato, l’utente riceve un prompt manomesso che, una volta incollato e inviato, fa partire una serie di comandi. In uno scenario, Atlas potrebbe essere guidato verso un sito di phishing e finire col suggerire o inserire dati sensibili. In un altro, potrebbe eseguire azioni automatizzate su servizi cloud, copiando o cancellando file. Le combinazioni sono tante, perché le AI agentiche — per loro natura — possono compiere azioni complesse sul web, ed è proprio questa loro efficacia che moltiplica il rischio quando il controllo non è perfetto.
Non è fantascienza: è la fotografia di un problema reale che nasce quando si mette nelle mani di un agente la capacità di interpretare testo apparentemente innocuo come istruzioni operative. La lezione è chiara e preoccupante allo stesso tempo: la potenza di questi agenti richiede difese altrettanto robuste. Mettere un’AI a navigare e agire per conto nostro apre prospettive straordinarie, ma espone anche a vettori d’attacco nuovi e spesso sottili.
Serve una risposta rapida e intelligente: patch tecniche, verifiche più stringenti sugli input che vengono interpretati come comandi, e una dose di consapevolezza da parte degli utenti che, per quanto possa sembrare banale, resta il primo filtro di sicurezza. Finché non ci si muove in questa direzione, il sogno di una navigazione assistita dall’AI rischia di inciampare proprio dove sarebbe dovuto brillare di più.
