Il contesto è semplice, ma potente: stiamo parlando del momento in cui i browser “normali” (quelli in cui navighiamo come utenti) si trasformano in agenti attivi, dotati di intelligenza, capaci non solo di ricevere comandi ma di agire al nostro posto. È il paradigma dell’“agentic browsing”: chiedi, ad esempio, “riassumi questa pagina” o “compra quel biglietto”, e l’AI browser apre tab, estrae dati, compila form, interagisce con il web come se fosse te. Fino a qui, futuribile ma allettante. Il problema è che la sicurezza (quelle garanzie consolidate per la navigazione web) non è stata ripensata in modo adeguato.

Nel report di Brave viene messo in evidenza che questi agenti diventano vulnerabili a due attacchi specifici e all’apparenza sofisticati: l’iniezione di prompt nascosti tramite screenshot e quella tramite navigazione web. Più precisamente, la sezione “Unseeable prompt injections in screenshots: more vulnerabilities in Comet and other AI browsers” spiega che è possibile nascondere istruzioni maligne all’interno di immagini (per esempio del testo quasi invisibile) che l’AI interpreta come prompt validi. Allo stesso modo, un sito web apparentemente benigno può “riciclare” il suo contenuto e inserirlo nel modello dell’agente, travalicando la distinzione tra input utente e contenuto non affidabile.

È quindi confermato che non è solo il browser Atlas a essere a rischio. Il report cita diversi browser “agent-AI” (come Comet di Perplexity e Fellou) che presentano la stessa debolezza strutturale: l’incapacità di separare trusted user input da untrusted web content quando generano prompt per l’LLM o agente.

Ecco i punti chiave, da CTO/CSO esperto:

La vulnerabilità non è solo un bug, è architetturale. Quando l’agente del browser ha accesso alle sessioni autenticati dell’utente (email, banca, lavoro) e subentra un attacco di prompt injection, le protezioni tradizionali (same-origin policy, CORS, sandboxing) diventano quasi inutili. Brave lo dice chiaramente: “traditional Web security assumptions break when AI agents act on behalf of users.”

Modalità di attacco – screenshot e navigazione:

  • Screenshot: l’utente fa uno screenshot di una pagina con testo quasi invisibile (o con colore troppo tenue) e l’agente, tramite OCR o simili, legge quel testo come istruzione valida.
  • Navigazione: l’agente visita un sito web e il contenuto della pagina viene passato al modello come parte del prompt, permettendo al sito di inserire istruzioni malevole.

Implicazioni reali per business & utenti: È facile immaginare che un singolo comando nascosto possa attivare la divulgazione di una mail, un logout, un trasferimento, o l’upload di dati in cloud. Il rischio per la trasformazione digitale aziendale (dove agenti AI accedono a sistemi sensibili) è evidente.

E per il vostro stack tecnologico? Se la vostra azienda sta valutando o implementando assistenti AI agent-based per navigazione web, automazione, customer service bot, va messa in campo da subito una strategia di “least privilege”, “human-in-the-loop”, isolamento tra agentic e normal browsing, logging esteso. Brave lo raccomanda esplicitamente: isolare il browser agentico dai flussi a elevata sensibilità.

Un dettaglio intrigante: Nell’articolo de The Register si riporta come uno degli exploit sull’Atlas sia stato fatto cambiando semplicemente la modalità “light/dark” attraverso un documento Word online contenente istruzioni nascoste. Il ricercatore sostiene che “prompt injection is inevitable”. vedi The Register

Differenziazione tra browser agent-AI e browser tradizionali: I browser tradizionali aspettano input umano, filtrano contenuto come script, rispettano origin boundaries. Con un agente che “agisce per conto dell’utente”, quegli assunti saltano. Ecco perché, come leader tecnologico, bisogna ripensare la definizione stessa di “navigazione sicura”.

Dal punto di vista SEO/transformazione digitale, se la vostra azienda sta promuovendo strumenti agent-AI o integrando interfacce di navigazione automatica, va comunicato anche il tema della fiducia e sicurezza gli utenti e i clienti devono sapere che la tecnologia “agisce per voi” ma non prende il controllo senza limiti.

    In conclusione, (si potrebbe scrivere “in definitiva” ma sto evitando formalismi) questo report segnala che la corsa all’AI-browser agentic deve essere fermata momentaneamente, valutata con rigore, prima che venga adottata a tappeto in ambienti enterprise o di trasformazione digitale. Le vulnerabilità sono reali, pervasive, difficili da mitigare completamente. Come CTO con 30 anni di leadership tecnologica avresti già un radar rosso acceso su questi scenari.

    Leggi il BRAVE REPORT