Spoofing della barra laterale AI: un nuovo attacco ai browser AI

In che modo le estensioni dannose possono falsificare le barre laterali AI nei browser Comet e Atlas, intercettare le query degli utenti e manipolare le risposte dei modelli.

I ricercatori di cybersecurity hanno rivelato un nuovo metodo di attacco rivolto ai browser con intelligenza artificiale, che chiamano spoofing della barra laterale AI. Questo attacco sfrutta la crescente abitudine degli utenti di fidarsi ciecamente delle istruzioni ottenute dall’intelligenza artificiale. I ricercatori hanno implementato con successo lo spoofing della barra laterale AI contro due popolari browser AI: Comet by Perplexity e Atlas by OpenAI.

Inizialmente i ricercatori hanno utilizzato Comet per i loro esperimenti, ma in seguito hanno confermato che l’attacco era fattibile anche nel browser Atlas. Questo post utilizza Comet come esempio per spiegare i meccanismi di spoofing della barra laterale AI, ma invitiamo il lettore a ricordare che tutto quanto indicato di seguito si applica anche ad Atlas.

Come funzionano i browser AI?

Per iniziare, diamo un’occhiata ai browser AI. L’idea che l’intelligenza artificiale sostituisca o almeno trasformi il familiare processo di ricerca in Internet ha iniziato a generare scalpore tra il 2023 e il 2024. Lo stesso periodo ha visto i primi tentativi in assoluto di integrare l’AI nelle ricerche online.

Inizialmente si trattava di funzionalità supplementari all’interno dei browser convenzionali, come Microsoft Edge Copilot e Brave Leo, implementate come barre laterali AI. Sono stati aggiunti assistenti integrati all’interfaccia del browser per il riepilogo delle pagine, la risposta alle domande e l’esplorazione dei siti. Entro il 2025, l’evoluzione di questo concetto ha inaugurato Comet di Perplexity AI, il primo browser progettato per l’interazione utente-AI da zero.

Ciò ha reso l’intelligenza artificiale il fulcro dell’interfaccia utente di Comet, piuttosto che un semplice componente aggiuntivo. Ha unificato ricerca, analisi e automazione del lavoro in un’esperienza senza interruzioni. Poco dopo, a ottobre 2025, OpenAI ha introdotto il proprio browser per l’intelligenza artificiale, Atlas, basato sullo stesso concetto.

L’elemento di interfaccia principale di Comet è la barra di immissione al centro dello schermo, attraverso la quale l’utente interagisce con l’AI. Lo stesso vale per Atlas.

Browser AI di nuova generazione: Comet e Atlas

Le schermate iniziali di Comet e Atlas dimostrano un concetto simile: un’interfaccia minimalista con una barra di input centrale e AI integrata che diventa il metodo principale di interazione con il Web

Inoltre, i browser AI consentono agli utenti di interagire con l’intelligenza artificiale direttamente nella pagina Web. Lo fanno tramite una barra laterale integrata che analizza il contenuto e gestisce le query, il tutto senza che l’utente lasci la pagina. L’utente può chiedere all’AI di riassumere un articolo, spiegare un termine, confrontare i dati o generare un comando rimanendo sulla pagina corrente.

Interazione con l'AI direttamente nelle pagine Web

Le barre laterali sia in Comet che in Atlas consentono agli utenti di eseguire query sull’AI senza passare a schede separate: è possibile analizzare il sito corrente, porre domande e ricevere risposte nel contesto della pagina in cui ci si trova

Questo livello di integrazione condiziona gli utenti a dare per scontate le risposte e le istruzioni fornite dall’AI integrata. Quando un assistente è perfettamente integrato nell’interfaccia utente e sembra parte naturale del sistema, la maggior parte delle persone raramente si ferma per ricontrollare le azioni suggerite.

Questa fiducia è esattamente ciò che sfrutta l’attacco dimostrato dai ricercatori. Una barra laterale AI falsa può emettere false istruzioni, indirizzando l’utente a eseguire comandi dannosi o visitare siti Web di phishing.

In che modo i ricercatori sono riusciti a eseguire l’attacco di spoofing della barra laterale dell’AI?

L’attacco inizia con l’installazione di un’estensione dannosa da parte dell’utente. Per porre fine alle azioni dannose, ha bisogno delle autorizzazioni per visualizzare e modificare i dati in tutti i siti visitati, nonché dell’accesso all’API di archiviazione dei dati sul lato client.

Tutte queste sono autorizzazioni abbastanza standard; senza la prima, nessuna estensione del browser funzionerà. Pertanto, le possibilità che l’utente diventi sospettoso quando un nuovo interno richiede queste autorizzazioni sono quasi nulle. Ulteriori informazioni sulle estensioni del browser e sulle autorizzazioni richieste sono disponibili nel nostro post Le estensioni del browser sono più pericolose di quanto sembrano.

Pagina di gestione delle estensioni di Comet

Un elenco delle estensioni installate nell’interfaccia utente di Comet. L’estensione dannosa mascherata, AI Marketing Tool, è visibile tra tali estensioni. Fonte

Una volta installata, l’estensione inietta JavaScript nella pagina Web e crea una barra laterale contraffatta che sembra straordinariamente simile a quella reale. Questo non dovrebbe generare segnali d’allarme da parte dell’utente: quando l’estensione riceve una query, parla con l’LLM legittimo e visualizza fedelmente la risposta. I ricercatori hanno utilizzato Google Gemini nei loro esperimenti, anche se ChatGPT di OpenAI probabilmente avrebbe funzionato altrettanto bene.

Spoofing dell'interfaccia utente della barra laterale AI

Lo screenshot mostra un esempio di barra laterale falsa esteticamente molto simile all’Assistente Comet originale. Fonte

La falsa barra laterale può manipolare selettivamente le risposte ad argomenti specifici o a query chiave impostate in anticipo dal potenziale utente malintenzionato. Ciò significa che nella maggior parte dei casi l’estensione visualizzerà semplicemente le risposte dell’AI legittime, ma in determinate situazioni visualizzerà invece istruzioni, collegamenti o comandi dannosi.

Quanto è realistico lo scenario in cui un utente ignaro installa un’estensione dannosa in grado di eseguire le azioni sopra descritte? L’esperienza insegna che è altamente probabile. Nel nostro blog abbiamo più volte segnalato decine di estensioni dannose e sospette che sono entrate correttamente nel Chrome Web Store ufficiale. Ciò continua a verificarsi nonostante tutti i controlli di sicurezza svolti dal negozio e le ingenti risorse a disposizione di Google. Per ulteriori informazioni sul modo in cui le estensioni dannose finiscono negli store ufficiali, consulta il nostro post 57 losche estensioni Chrome totalizzano sei milioni di installazioni.

Conseguenze dello spoofing della barra laterale basata sull’AI

Discutiamo ora del motivo per cui gli utenti malintenzionati possono utilizzare una barra laterale falsa. Come notato dai ricercatori, l’attacco di spoofing della barra laterale AI offre ai potenziali utenti malintenzionati ampie opportunità di causare danni. Per dimostrarlo, i ricercatori hanno descritto tre possibili scenari di attacco e le relative conseguenze: phishing di criptovalute, furto dell’account Google e acquisizione del dispositivo. Esaminiamo ciascuno di essi in dettaglio.

Utilizzo di una falsa barra laterale AI per rubare le credenziali di Binance

Nel primo scenario, l’utente chiede all’AI nella barra laterale come vendere la propria criptovaluta sullo scambio di criptovalute Binance. L’assistente AI fornisce una risposta dettagliata che include un collegamento allo scambio di criptovalute. Ma questo collegamento non porta al vero sito di Binance: porta a un falso notevolmente convincente. Il collegamento punta al sito di phishing dell’utente malintenzionato, che utilizza il nome di dominio falso binacee.

Pagina di phishing mascherata da Binance

Il modulo di accesso falso nel dominio login{.}binacee{.}com è quasi indistinguibile dall’originale ed è progettato per rubare le credenziali dell’utente. Fonte

Successivamente, l’utente ignaro inserisce le proprie credenziali di Binance e il codice per l’autenticazione a due fattori tramite Authenticator, se necessario. Successivamente, gli autori dell’attacco ottengono l’accesso completo all’account della vittima e possono sottrarre tutti i fondi dai propri portafogli di criptovaluta.

Utilizzo di una barra laterale AI falsa per impossessarsi di un Account Google

Anche la successiva variazione di attacco inizia con un collegamento di phishing, in questo caso a un servizio di condivisione file falso. Se l’utente fa clic sul collegamento, viene reindirizzato a un sito Web in cui la pagina di destinazione richiede di accedere immediatamente con il proprio Account Google.

Dopo che l’utente fa clic su questa opzione, viene reindirizzato alla pagina di accesso legittima di Google in cui inserire le proprie credenziali, ma la piattaforma falsa richiede l’accesso completo a Google Drive e Gmail dell’utente.

Richiesta di accesso all'account Google

La falsa applicazione share-sync-pro{.}vercel{.}app richiede l’accesso completo ai file Gmail e Google Drive dell’utente. In questo modo gli utenti malintenzionati hanno il controllo sull’account. Fonte

Se l’utente non riesce a esaminare la pagina, fa automaticamente clic su Consenti, questo concede agli utenti malintenzionati le autorizzazioni per azioni altamente pericolose:

  • Visualizzazione delle e-mail e delle impostazioni.
  • Lettura, creazione e invio di e-mail dal proprio account Gmail.
  • Visualizzazione e download di tutti i file archiviati in Google Drive.

Questo livello di accesso offre ai cybercriminali la possibilità di rubare i file della vittima, utilizzare servizi e account collegati a tale indirizzo e-mail e impersonare il proprietario dell’account per diffondere messaggi di phishing.

Shell inversa avviata tramite una falsa guida all’installazione di un’utilità generata dall’AI

Infine, nell’ultimo scenario, l’utente chiede all’AI come installare una determinata applicazione; nell’esempio è stata utilizzata l’utilità Homebrew, ma potrebbe essere qualsiasi cosa. La barra laterale mostra all’utente una guida generata dall’AI perfettamente ragionevole. Tutti i passaggi sembrano plausibili e corretti fino alla fase finale, in cui il comando di installazione dell’utilità viene sostituito con una shell inversa.

La falsa guida contiene una shell inversa anziché un comando di installazione

La guida per l’installazione dell’utilità come mostrato nella barra laterale è quasi del tutto corretta, ma l’ultimo passaggio contiene un comando della shell inversa. Fonte

Se l’utente segue le istruzioni dell’AI copiando e incollando il codice dannoso nel terminale e quindi eseguendolo, il relativo sistema verrà compromesso. Gli utenti malintenzionati saranno in grado di scaricare i dati dal dispositivo, monitorare l’attività o installare il malware e continuare l’attacco. Questo scenario dimostra chiaramente che una singola riga di codice sostituita in un’interfaccia AI attendibile è in grado di compromettere completamente un dispositivo.

Come evitare di diventare vittima di false barre laterali dell’AI

Lo schema di attacco di spoofing della barra laterale dell’AI è attualmente solo teorico. Tuttavia, negli ultimi anni gli autori degli attacchi sono stati molto rapidi nel trasformare ipotetiche minacce in attacchi pratici. Pertanto, è del tutto possibile che qualche creatore di malware stia già lavorando alacremente su un’estensione dannosa utilizzando una barra laterale AI falsa o caricandola in un negozio di estensioni ufficiale.

Pertanto, è importante ricordare che anche l’interfaccia di un browser familiare può essere compromessa. E anche se le istruzioni sembrano convincenti e provengono dall’assistente AI integrato nel browser, non dovresti fidarti ciecamente. Ecco alcuni suggerimenti finali per evitare di cadere vittima di un attacco che coinvolge un’AI falsa:

  • Quando si utilizzano gli assistenti AI, è opportuno controllare attentamente tutti i comandi e i collegamenti prima di seguire i consigli dell’AI.
  • Se l’AI consiglia di eseguire un codice di programmazione, copialo e scopri cosa fa incollandolo in un motore di ricerca in un browser diverso dall’AI.
  • Non installare le estensioni del browser, AI o altro, a meno che non sia assolutamente necessario. Pulisci ed elimina periodicamente le estensioni non più utilizzate.
  • Prima di installare un’estensione, leggi le recensioni degli utenti. La maggior parte delle estensioni dannose accumula un sacco di dure recensioni da parte degli utenti ingannati molto prima che i moderatori dello store provvedano a rimuoverle.
  • Prima di immettere credenziali o altre informazioni riservate, verifica sempre che l’indirizzo del sito Web non appaia sospetto o contenga errori di battitura. Presta attenzione anche al dominio di primo livello: dovrebbe essere quello ufficiale.
  • Utilizza Kaspersky Password Managerper archiviare le password. Se non riconosce il sito e non si offre automaticamente di compilare i campi di accesso e password, questo è un buon motivo per chiedersi se ci si potrebbe trovare in una pagina di phishing.
  • Installa una soluzione di protezione affidabile che avvisa l’utente della presenza di attività sospette nel dispositivo e impedisce di visitare un sito di phishing.

Quali altre minacce ti aspettano nei browser, basate sull’intelligenza artificiale o normali:

Consigli
  • Tutti gli altri paesi