Un semplice gioco matematico è bastato per mandare in tilt le difese di sei browser basati sull’intelligenza artificiale. La tecnica si chiama BioShocking e arriva dai ricercatori di LayerX, che hanno dimostrato come sia possibile ingannare un browser AI costruendo attorno all’utente uno scenario fittizio. Il risultato è che le protezioni saltano e diventa possibile eseguire attività di ogni tipo, compreso il furto dei dati direttamente dal computer. Tra tutti i provider avvisati, soltanto OpenAI ha corretto la falla.
Quando due più due fa cinque
Il Proof of Concept messo a punto da LayerX ha funzionato su sei browser agentici diversi: ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser e Claude per Chrome, quest’ultimo sotto forma di plugin. Ognuno di questi si appoggia a un modello linguistico con regole ben precise, pensate per bloccare certi comandi. Se si chiede loro di scrivere una mail di phishing o di spiegare come rubare delle credenziali, di norma rispondono picche e rifiutano la richiesta.
Il trucco sta tutto nel contesto. I ricercatori hanno realizzato una pagina web ispirata al famoso videogioco BioShock, chiedendo poi ai sei browser di risolvere un rompicapo banale: quanto fa due più due. La risposta ovvia è quattro, ma dopo averla inviata i browser si sono visti comparire un messaggio che la bollava come sbagliata. A quel punto è scattato il riferimento a 1984 di George Orwell, e i browser hanno cambiato risposta scrivendo cinque.
Una realtà alternativa che apre la porta ai dati
Da lì in poi il gioco ha preso una piega inquietante. Accettando quella logica distorta, i browser AI hanno smesso di rispettare le proprie restrizioni, come se fossero finiti dentro una realtà parallela dove le regole non valevano più. Il prompt successivo, mostrato sulla stessa pagina, chiedeva di collegarsi a un repository su GitHub e di copiare le credenziali di accesso SSH. Una volta inserite quelle informazioni nella pagina, i browser hanno pensato di aver vinto la partita. In realtà avevano appena consegnato dati sensibili nelle mani di un potenziale malintenzionato.
Nello screenshot condiviso dai ricercatori si legge la risposta finale di ChatGPT Atlas, che porta a termine il compito senza battere ciglio. Il punto più delicato è proprio questo: tutti e sei i browser hanno copiato le credenziali senza mai chiedere il permesso all’utente, come se l’operazione fosse del tutto normale.
La reazione dei diretti interessati racconta molto. LayerX ha contattato i sei provider coinvolti, ma le risposte sono state deludenti. Fellou, Genspark e Sigmabrowser non hanno dato alcun segno di vita. Perplexity ha lasciato cadere la segnalazione nel vuoto, mentre Anthropic ha rilasciato una patch che però non funzionava. L’unico ad aver chiuso davvero la falla è stato OpenAI.
Il suggerimento dei ricercatori è tanto semplice quanto sensato: introdurre un passaggio di conferma prima di portare a termine operazioni che possono rivelarsi pericolose. Basterebbe una richiesta esplicita all’utente per bloccare sul nascere questo genere di raggiro, invece di lasciare che un browser AI agisca in totale autonomia dietro le quinte.