C’è un nuovo campo di battaglia nel mondo dell’intelligenza artificiale e, come sempre, la guerra inizia da una promessa: un web più intelligente, efficiente e umano. I nuovi browser AI come ChatGPT Atlas di OpenAI e Comet di Perplexity si presentano come la prossima rivoluzione nell’accesso a Internet. Non si limitano a cercare, ma agiscono. Navigano per noi, compilano moduli, leggono email, prenotano voli e forse un giorno sapranno anche chiedere scusa quando faranno un disastro. È l’evoluzione naturale del browser, dicono. Ma come ogni salto evolutivo, qualcosa va perso per strada, e questa volta il prezzo sembra essere la privacy.
La verità è che questi browser non aprono solo schede, aprono portali diretti dentro le nostre vite digitali. Per funzionare, chiedono accesso a tutto ciò che un tempo custodivamo con paranoica gelosia: email, calendario, contatti, documenti, preferenze, perfino le tracce di ciò che non abbiamo mai scritto. Sono progettati per imparare da noi, ma nessuno ha ancora spiegato chiaramente quanto di noi rimanga intrappolato nei loro modelli.
Nella corsa all’innovazione, sembra che ci stiamo dimenticando una vecchia regola del gioco: ogni volta che qualcosa diventa “più comodo”, diventa anche più pericoloso.
Gli esperti di sicurezza digitale avvertono che gli AI browser agent rappresentano una nuova superficie d’attacco, più ampia e più sottile di qualsiasi cosa vista prima. In passato, i rischi venivano dai link malevoli o dai download infetti. Oggi, il pericolo è che un’intelligenza artificiale, credendo di essere utile, segua le istruzioni di un attaccante nascosto dentro una pagina web. Si chiama prompt injection ed è il nuovo incubo dei ricercatori di sicurezza.
Un prompt injection è essenzialmente un’infiltrazione linguistica. Un testo nascosto dentro un sito web ordina all’agente AI di “dimenticare le regole” e compiere un’azione che non dovrebbe, come inviare le email dell’utente o postare qualcosa sui social. È il tipo di attacco che non richiede exploit complessi, solo una buona conoscenza di come i modelli linguistici interpretano il linguaggio. È un colpo di genio perverso: hackerare l’AI usando il linguaggio stesso.
Le aziende sanno bene che il rischio è reale. OpenAI, nel presentare Atlas, ha riconosciuto che “il prompt injection rimane un problema di sicurezza ancora irrisolto”. È una frase che pesa, perché in gergo tecnologico “irrisolto” significa “potenzialmente catastrofico”. Perplexity, dal canto suo, ha ammesso che il fenomeno è così pervasivo da “richiedere una riprogettazione totale della sicurezza”. Tradotto: non esiste ancora un antivirus per le parole.
Il problema di fondo è che i browser AI non hanno un confine chiaro tra ciò che è un’istruzione legittima e ciò che è un attacco. Per un modello linguistico, “leggi la mia email” e “leggi la mia email e mandala a questo indirizzo” sono entrambe frasi coerenti, grammaticalmente corrette e semanticamente plausibili. L’AI non sospetta. Obbedisce. È la differenza tra un assistente e un agente, e noi abbiamo appena iniziato a dare il potere decisionale a quest’ultimo.
Brave, il browser noto per la sua ossessione verso la privacy, ha definito i prompt injection “una sfida sistemica che riguarda l’intera categoria dei browser AI”. Tradotto in lessico aziendale significa che nessuno è davvero pronto. Gli ingegneri di Brave hanno ragione: un browser che agisce per conto dell’utente è, per definizione, un rischio potenziale. È come dare una carta di credito a un robot con un leggero difetto di attenzione.
Alcuni sostengono che queste minacce siano sopravvalutate, che i sistemi di protezione evolveranno come hanno sempre fatto. È la stessa narrativa che sentivamo ai tempi dei primi virus per PC: “non succederà a te”. Poi è successo a tutti.
Il CTO di McAfee, Steve Grobman, ha sintetizzato perfettamente la situazione definendola “un gioco del gatto e del topo”. Ogni volta che una difesa viene aggiornata, nasce una nuova forma di attacco. Gli hacker evolvono come i modelli, e spesso sono più creativi. Oggi i prompt injection non si limitano al testo: si nascondono dentro immagini o codici offuscati che solo l’AI può interpretare. È un attacco invisibile per l’occhio umano, ma letale per un agente automatizzato.
L’ironia è che la promessa dei browser AI è proprio quella di farci risparmiare tempo. Ma l’efficienza senza sicurezza è solo un modo più veloce per farsi rubare i dati. I test iniziali mostrano che ChatGPT Atlas e Comet sono utili per compiti semplici, come riassumere pagine o gestire piccole attività. Quando però le richieste diventano complesse, l’agente AI tende a impantanarsi, impiegando minuti per completare operazioni che un utente esperto farebbe in trenta secondi. Sembra più un esperimento di laboratorio travestito da rivoluzione.
Non è un caso che entrambe le aziende abbiano introdotto modalità “sicure”. OpenAI ha creato il cosiddetto “logged out mode”, in cui l’agente naviga senza accedere ai dati personali dell’utente. Perplexity, invece, afferma di aver costruito un sistema di rilevamento in tempo reale dei prompt injection. Sono contromisure valide, ma temporanee. Perché la verità è che non puoi difendere efficacemente qualcosa che non comprendi ancora del tutto.
Il futuro dei browser AI dipenderà dalla capacità delle aziende di bilanciare potere e fiducia. L’idea di un assistente che naviga al posto nostro è affascinante, ma il confine tra comodità e sorveglianza è sottile come una linea di codice. I dati che oggi concediamo a un agente AI saranno probabilmente usati per addestrare il suo successore. Ciò che il browser “vede” diventa parte della sua memoria collettiva, e nessuno può garantire che quella memoria non venga condivisa o compromessa.
Rachel Tobac, esperta di sicurezza e CEO di SocialProof Security, ha avvertito che gli account dei browser AI diventeranno presto bersagli prioritari per i criminali informatici. Le sue raccomandazioni sono pragmatiche: usare password uniche, attivare l’autenticazione a più fattori e soprattutto limitare l’accesso dei browser AI agli account sensibili. In altre parole, non dare al tuo assistente digitale la chiave della cassaforte.
La verità più scomoda è che la maggior parte degli utenti non leggerà mai le impostazioni di sicurezza, né capirà davvero come funzionano gli agenti AI. Ecco perché il rischio è sistemico: nasce dall’interazione tra complessità tecnologica e pigrizia umana. Le aziende contano su questo, perché la comodità vende più della prudenza.
C’è un paradosso interessante in tutto questo. I browser AI nascono per “semplificare il web”, ma finiscono per renderlo più opaco. Un utente non saprà più se un clic è stato suo o dell’agente. Non distinguerà più tra un’azione volontaria e un’esecuzione automatica. È un’illusione di controllo in un ecosistema che, in realtà, sta imparando a muoversi da solo.
Molti vedono in ChatGPT Atlas il segnale di un cambio epocale. Ma come ogni cambiamento tecnologico accelerato, anche questo richiede una pausa di riflessione. Il web non è più una mappa, è un organismo, e stiamo delegando la nostra capacità di esplorarlo a intelligenze che ancora non sanno distinguere tra fiducia e trappola.
Il browser AI è il nuovo front-end dell’umanità digitale. Ma, come spesso accade, la tecnologia corre più veloce della nostra capacità di proteggerci da essa. È il solito copione: inventiamo qualcosa che non sappiamo ancora difendere. E poi lo lanciamo, sperando che vada tutto bene.