Browser agentici: nessuna garanzia di sicurezza

Due giorni fa, Anthropic ha rilasciato un’estensione per Chrome che permette di usare Claude come un agente AI. Al momento è accessibile solo a 1.000 abbonati al piano Max, in quanto è una tecnologia sperimentale. Secondo il ricercatore Simon Willison (che nel 2022 ha coniato il termine “prompt injection”), i browser agentici non potranno mai garantire la sicurezza assoluta.

Non esisterà mai un browser AI sicuro

Claude per Chrome (desktop) è un’estensione che permette al chatbot di leggere, cliccare e navigare sui siti web per conto dell’utente. Anthropic è consapevole dei rischi associati. Nel post di annuncio è scritto che devono essere risolte alcune vulnerabilità prima di rendere l’estensione accessibile a tutti. In particolare, i browser agentici sono soggetti agli attacchi di prompt injection.

Come hanno dimostrato gli esperti di Guardio e Brave con Perplexity Comet, i cybercriminali possono nascondere prompt in email, messaggi, pagine web, post e commenti sui social media che l’agente AI esegue senza l’intervento dell’utente. In questo modo è possibile rubare dati personali, accedere agli account o effettuare acquisti.

Anthropic ha pubblicato un elenco di altri rischi, tra cui l’errata interpretazione delle istruzioni e le risposte sbagliate. L’azienda californiana ha eseguito 123 test che rappresentano 29 tipi di attacchi. Senza mitigazioni, gli attacchi hanno avuto successo nel 23,6% dei casi. Dopo aver applicato le mitigazioni, la percentuale è scesa all’11,2%.

Secondo il ricercatore Simon Willison, 11,2% è ancora una percentuale “catastrofica”. Anthropic sottolinea che l’estensione per Chrome sarà disponibile a tutti quando la percentuale sarà prossima a zero. Willinson ritiene però che i browser agentici non potranno mai garantire una sicurezza al 100%.