La sicurezza dei browser basati su intelligenza artificiale è stata recentemente messa in discussione da una nuova tecnica chiamata PromptFix, che sfrutta le vulnerabilità dei modelli generativi per indurre le AI ad eseguire azioni pericolose senza che l’utente ne sia consapevole. Questo metodo consiste nell’incorporare istruzioni malevole all’interno di finti CAPTCHA presenti sulle pagine web, aggirando così i controlli di sicurezza dei browser AI come Comet, sviluppato da Perplexity.

PromptFix: evoluzione delle truffe nell’era AI

PromptFix rappresenta una sofisticata evoluzione delle vecchie truffe come ClickFix, ma si adatta all’era dell’AI sfruttando i meccanismi di automazione tipici di questi browser. I sistemi agentici, cioè quelli in grado di agire autonomamente e prendere decisioni senza supervisione costante, possono essere facilmente ingannati da pagine di phishing o siti simili a negozi reali, portando avanti operazioni come l’invio di dati sensibili o l’acquisto di prodotti senza la consapevolezza dell’utente.

Social engineering applicato alle AI

I ricercatori hanno osservato che, con PromptFix, non si cerca di forzare l’AI a seguire comandi con errori o glitch, ma si fa leva su tecniche di social engineering, ovvero manipolazione psicologica, adattate però al funzionamento delle AI. In questo modo, l’AI viene indotta a fare tutto il possibile per aiutare l’utente, anche eseguendo azioni potenzialmente dannose.

Test e rischi riscontrati

Durante i test, il browser Comet ha in alcune occasioni aggiunto prodotti al carrello, inserito automaticamente indirizzo e dati della carta di credito dell’utente su siti falsi, senza richiedere alcuna conferma. In altri scenari, Comet ha gestito email contenenti link malevoli, inserendo credenziali su pagine di login fasulle e creando una catena di fiducia completamente compromessa, in cui l’utente non riesce mai a percepire il pericolo.

La tecnica PromptFix può anche indurre l’AI a cliccare su bottoni invisibili all’interno della pagina, aggirando CAPTCHA e scaricando file malevoli, dando vita a veri e propri attacchi drive-by download. Questo schema funziona anche su ChatGPT in modalità Agent, sebbene in ambiente più isolato.

Difese consigliate e scenario attuale

Questi risultati evidenziano la necessità di dotare i browser AI di difese proattive, come filtri anti-phishing, controllo della reputazione dei domini e analisi di file sospetti. L’utilizzo crescente di piattaforme GenAI per creare siti truffaldini, phishing kit e contenuti deepfake amplifica il rischio, abbassando la barriera d’ingresso per i cybercriminali a livello globale. Gli attacchi possono coinvolgere utenti di tutto il mondo tramite campagne di phishing, siti di investimento fraudolenti e furto di dati bancari, spingendo le aziende e i singoli utenti a rafforzare la propria consapevolezza e i propri strumenti di sicurezza digitale.