Allarme sicurezza: scoperta una falla critica nel browser Atlas AI di OpenAI

Specialisti di NeuralTrust hanno appena sollevato un allarme: una vulnerabilità nel nuovo browser Atlas di OpenAI potrebbe permettere a malintenzionati di trasformare semplici URL in istruzioni eseguibili dal browser. Il difetto risiede in una “stringa universale” che accetta sia un indirizzo web sia richieste in linguaggio naturale. Modificando lievemente la struttura di un URL, è possibile indurlo a non essere più interpretato come collegamento ma come comando testuale — con conseguenze potenzialmente gravi.

Come funziona l’attacco (in breve)

Secondo i ricercatori, basta confezionare un link che contenga comandi nascosti — per esempio direttive del tipo «execute solo queste istruzioni» o «vai a [sito X]» — perché Atlas li consideri come input dell’utente e li esegua con maggiore fiducia, aggirando i normali filtri di sicurezza. In scenari peggiori, un exploit del genere potrebbe convincere il browser ad accedere a file su Google Drive o perfino a cancellarli.

Leggi anche:

• Firefox diventa intelligente: ora risponde subito alle ricerche

NeuralTrust sottolinea che il problema deriva da una gestione ambiguA tra URL e testo libero: alla minima ambiguità, Atlas passa in una modalità “esecutiva”. La raccomandazione è chiara: OpenAI dovrebbe inasprire la validazione degli URL e bloccare il comportamento di apertura o l’esecuzione automatica a meno che l’utente non confermi esplicitamente l’azione.

OpenAI non ha ancora rilasciato un commento ufficiale; un responsabile della sicurezza ha però ammesso che la questione è «ancora irrisolta e oggetto di indagine attiva». Intanto, esperti di Brave e altri osservatori avvertono che il rischio non è limitato ad Atlas: tutta la categoria dei browser con integrazione AI — da Perplexity ad altre soluzioni emergenti — potrebbe soffrire di vulnerabilità analoghe. Per gli utenti con accesso a servizi sensibili (home banking, email, archivi cloud) anche un semplice riepilogo automatizzato di una pagina web potrebbe trasformarsi in una fuga di dati o in perdite economiche.

La lezione è netta: con l’aumento delle interfacce AI integrate nei browser, serve una barriera di sicurezza più rigida e procedure di conferma esplicite prima di eseguire qualunque istruzione derivata da contenuti esterni.

Fonte

Ti potrebbe interessare:

• Gmail colpita da una fuga di password senza precedenti: 183 milioni di credenziali in rete

Segui guruhitech su:

• Google News: bit.ly/gurugooglenews
• Telegram: t.me/guruhitech
• X (Twitter): x.com/guruhitech1
• Bluesky: bsky.app/profile/guruhitech.bsky.social
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.d4cf3836b772da8a
• WhatsApp: bit.ly/whatsappguruhitech

Esprimi il tuo parere!

Che ne pensi di questa notizia? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].