Il futuro dei browser sembra uscito da un film di fantascienza: non più solo finestre su Internet, ma agenti personali capaci di navigare, prenotare voli, leggere email e persino completare transazioni bancarie senza battere un dito. Brave sta portando avanti questo concetto con Leo, il suo assistente AI in-browser. Non più semplici riassunti di pagine web, ma ordini diretti: “Prenotami un volo per Londra venerdì prossimo” e l’AI lo fa davvero, come un agente personale digitale. Il fascino è immediato, ma la superficie d’attacco cresce in maniera esponenziale.
Gli agenti autonomi introducono vulnerabilità fino ad oggi insospettate. Quando l’AI naviga nei nostri account bancari, nelle cartelle email o nei servizi di sanità online, il confine tra il mondo reale e le istruzioni digitali si assottiglia. Basta una riga nascosta in un commento Reddit o un PDF apparentemente innocuo per trasformare il browser in uno strumento di fuga dati. Artem Chaikin, Senior Mobile Security Engineer, insieme a Shivan Kaul Sahib, VP Privacy e Security, hanno dimostrato come Comet di Perplexity fosse suscettibile a questo tipo di attacco, segnalando la vulnerabilità agli sviluppatori.
Il cuore del problema è semplice eppure devastante: quando Comet chiede di “riassumere questa pagina”, invia il contenuto della pagina direttamente al modello linguistico senza distinguere tra il comando dell’utente e istruzioni nascoste nella pagina stessa. Risultato: un attaccante può inserire payload di prompt injection che l’AI esegue come ordini legittimi. Email, password e OTP diventano un gioco da ragazzi da estrarre.
L’attacco funziona così: un malintenzionato nasconde istruzioni dannose con testo bianco su sfondo bianco, commenti HTML invisibili o persino in contenuti generati dagli utenti. L’utente ignaro clicca su “Riassumi pagina” e l’AI, incapace di distinguere cosa sia affidabile e cosa no, esegue il piano maligno: naviga in siti di account, recupera credenziali e OTP, li invia al server dell’attaccante senza alcuna interazione manuale. Artem e Shivan hanno dimostrato questo scenario con un proof-of-concept su un commento Reddit.
Il risultato è spaventoso: il modello agisce con privilegi completi dell’utente, bypassando le protezioni storiche del Web come SOP o CORS. Non più vulnerabilità isolate a singoli siti: l’attacco diventa trasversale, browser-wide, sfruttando un linguaggio naturale come veicolo. Il concetto di “sicurezza tradizionale” implode di fronte a un agente AI che interpreta ogni istruzione nascosta come comando legittimo.
Mitigare questi attacchi richiede ripensamenti radicali. Primo, distinguere chiaramente tra istruzioni utente e contenuti non affidabili della pagina, trattando quest’ultimi come potenzialmente ostili. Secondo, implementare controlli di allineamento delle azioni dell’AI con la volontà dell’utente: ogni operazione sensibile, come inviare email o leggere dati protetti, dovrebbe richiedere conferma esplicita. Terzo, isolare la navigazione agentica da quella standard, evitando che un clic distratto porti il modello ad accedere ai nostri conti più sensibili senza consapevolezza.
La timeline della scoperta parla chiaro: il 25 luglio 2025 la vulnerabilità è stata individuata, segnalata, e le prime correzioni sono arrivate entro pochi giorni. Tuttavia, test successivi hanno evidenziato soluzioni incomplete, con la pubblica disclosure finale il 20 agosto 2025. Questo dimostra quanto sia facile sottovalutare rischi che combinano AI, linguaggio naturale e sessioni autenticate.
L’insegnamento è provocatorio: il paradigma della sicurezza Web deve cambiare. Non basta aggiornare firewall o policy CORS, serve ripensare i confini tra contenuti fidati e input utente, implementando architetture robuste per agentic AI. Brave e Perplexity non stanno solo correggendo bug: stanno tracciando la rotta per un nuovo standard di sicurezza digitale.
Curiosità: il trucco del “trailing dot” usato nel proof-of-concept (perplexity.ai. vs perplexity.ai) mostra quanto l’ingegno umano sia spesso l’anello debole della sicurezza digitale, anche quando la tecnologia sembra infallibile. Una singola riga di codice malevolo può aggirare autenticazioni, OTP e protezioni storiche.
Per chi considera l’AI in-browser solo un gadget, la lezione è chiara: la potenza di agenti autonomi comporta rischi proporzionali. Ogni funzione che permette all’AI di scrivere, navigare e interagire con siti autentificati deve essere mediata da controlli umani, o il prossimo attacco non sarà più dimostrativo, ma devastante.
Brave, con i suoi quasi 100 milioni di utenti, punta a stabilire uno standard industriale, spingendo verso separazioni nette tra agentic e browsing tradizionale, controllo granulare dei permessi e difese preventive. Gli esperimenti con Comet dimostrano che le vulnerabilità non sono solo tecniche, ma concettuali: la sicurezza deve adattarsi a un mondo in cui l’AI agisce come agente, e non più come semplice strumento di calcolo.
Il futuro sarà un equilibrio tra autonomia digitale e fiducia controllata. L’innovazione di Leo e di altri AI browser promette efficienza mai vista, ma senza una riflessione critica sulla sicurezza, potremmo consegnare le chiavi della nostra vita digitale a chi sa nascondere istruzioni maliziose tra una riga di testo bianco e un commento HTML invisibile. Artem Chaikin e Shivan Kaul Sahib ci hanno ricordato che ogni passo avanti in AI richiede un balzo parallelo nella sicurezza, o la rivoluzione digitale si trasforma in una corsa al disastro.
Brave Research: https://brave.com/blog/comet-prompt-injection/