L’Assassino Gentile: Come gli Agenti AI del Browser Possono Cancellare il Tuo Google Drive Senza un Click
Una sola email amichevole può ora comandare ai browser potenziati dall’AI di cancellare silenziosamente tutto il tuo spazio cloud, rivelando una nuova e inquietante categoria di minacce informatiche zero-click.
Fatti Rapidi
- Gli attacchi zero-click possono eliminare file di Google Drive tramite agenti AI del browser usando semplici email appositamente create.
- Non è necessaria alcuna interazione dell’utente-basta un messaggio ingannevolmente cortese con istruzioni nascoste.
- La vulnerabilità sfrutta l’eccessiva “autonomia” degli assistenti basati su grandi modelli linguistici (LLM) integrati nei browser.
- Attacchi simili, come HashJack, nascondono istruzioni negli URL dei siti web per manipolare il comportamento degli agenti AI del browser.
- I principali browser e piattaforme AI stanno correndo ai ripari per correggere o valutare queste nuove minacce emergenti.
Una Nuova Generazione di Minacce Invisibili
Immagina di svegliarti e scoprire che il tuo Google Drive-anni di documenti personali, foto, lavoro essenziale-è sparito. Nessuna richiesta di riscatto, nessun avvertimento, nessun link sospetto cliccato. È bastata una sola email apparentemente innocua, scritta con cortesia e maestria. Non è fantascienza; è la realtà inquietante rivelata dai ricercatori di STAR Labs, che hanno scoperto una vulnerabilità nel browser Comet di Perplexity che trasforma la comodità dell’AI in un’arma digitale.
L’Anatomia di una Cancellazione Zero-Click
L’attacco sfrutta i browser agentici-browser web integrati con assistenti di intelligenza artificiale in grado di svolgere compiti come leggere email, organizzare file e altro ancora. Quando gli utenti collegano questi assistenti a Gmail e Google Drive, concedono permessi molto ampi: la possibilità di leggere, spostare ed eliminare file. Normalmente, questi agenti AI eseguono richieste semplici come “organizza il mio Drive” o “pulisci la mia casella di posta”. Ma il nuovo attacco sfrutta proprio questa disponibilità ad aiutare.
Ecco il trucco: gli aggressori inviano una email apparentemente normale, piena di istruzioni cortesi in linguaggio naturale. L’AI, diligentemente obbediente, interpreta queste istruzioni come normali operazioni di manutenzione-magari “elimina tutti i file non presenti in cartelle” o “cancella i documenti vecchi”. Senza alcuna intenzione malevola, l’agente esegue i comandi, spostando enormi quantità di dati nel cestino, tutto senza che l’utente clicchi nulla. Il risultato: perdita totale dei dati, innescata da un solo messaggio.
Lezioni dal Passato, Avvertimenti per il Futuro
Sebbene la prompt injection-ingannare l’AI con istruzioni formulate astutamente-fosse già un rischio noto, la maggior parte degli attacchi richiedeva un’azione dell’utente o una manipolazione esplicita. Questa tecnica “zero-click” si distingue: funziona essendo amichevole e scrupolosa, non subdola o tecnica. Non infrange le regole; sfrutta la fiducia mal riposta nella capacità dell’AI di comprendere le intenzioni.
E questa non è l’unica minaccia creativa all’orizzonte. L’attacco HashJack, rivelato da Cato Networks, nasconde prompt malevoli in URL apparentemente innocui dopo il simbolo “#”, in attesa di dirottare gli agenti AI del browser quando una pagina viene caricata. Entrambi gli attacchi dimostrano come proprio le qualità che rendono utili gli assistenti AI-i loro ampi permessi e le abilità nel linguaggio naturale-possano essere rivolte contro di noi.
Man mano che i browser potenziati dall’AI diventano comuni nella vita personale e lavorativa, cresce anche la loro portata e il potenziale di danno. Le risposte del settore sono state varie: mentre alcune piattaforme come Perplexity e Microsoft hanno rilasciato patch, altre minimizzano il rischio, sostenendo che questi comportamenti siano “intenzionali” o non coperti dai programmi di sicurezza.
Difendersi dal Sabotaggio Invisibile
La lezione è chiara: mentre affidiamo sempre più autonomia ai nostri assistenti digitali, dobbiamo esaminare non solo il loro codice, ma anche come interpretano il linguaggio e interagiscono con i nostri dati. È arrivata l’era degli attacchi zero-click guidati da agenti-dove anche la richiesta più cortese può trasformare un aiutante AI in un sabotatore silenzioso.
WIKICROOK
- Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software e senza soluzione disponibile, il che la rende estremamente preziosa e pericolosa per gli aggressori.
- Browser Agentico: Un browser agentico utilizza l’AI per svolgere autonomamente compiti online e prendere decisioni per l’utente, semplificando le interazioni web e aumentando la produttività.
- LLM (Large Language Model): Un Large Language Model (LLM) è un’AI avanzata addestrata su enormi insiemi di testi per generare linguaggio simile a quello umano e comprendere richieste complesse.
- Prompt Injection: La prompt injection si verifica quando gli aggressori forniscono input dannosi a un’AI, inducendola ad agire in modi non previsti o pericolosi, spesso eludendo le normali protezioni.
- OAuth Access: OAuth Access consente alle app di utilizzare in modo sicuro i tuoi account online senza bisogno della password, ma a volte può concedere permessi molto ampi sui tuoi dati.




