Pochi giorni dopo il lancio del suo ambizioso browser ChatGPT Atlas, OpenAI è pubblicamente alle prese con una falla di sicurezza fondamentale che, secondo gli esperti, potrebbe colpire l’intera categoria di strumenti web basati sull’intelligenza artificiale.
In una dichiarazione pubblica dettagliata, il massimo dirigente della sicurezza dell’azienda ha riconosciuto che la”prompt injection”rimane un problema irrisolto, anche se i ricercatori hanno iniziato a dimostrare attacchi in tempo reale contro il nuovo browser.
Dopo il lancio del browser martedì, il Chief Information Security Officer di OpenAI, Dane Stuckey, si è rivolto a X mercoledì per affrontare le crescenti preoccupazioni.
Il suo post affronta direttamente il rischio di prompt indiretti injection, in cui istruzioni dannose nascoste sui siti Web possono indurre l’agente AI del browser a eseguire azioni involontarie e potenzialmente dannose.
Riconoscendo la vulnerabilità, Stuckey ha spiegato che l’obiettivo a lungo termine dell’azienda è rendere l’agente affidabile quanto un collega attento alla sicurezza.
Ha ammesso, tuttavia, che la tecnologia non è ancora disponibile.”…l’iniezione tempestiva rimane un problema di sicurezza irrisolto e di frontiera, e i nostri avversari spenderanno molto tempo e risorse per trovare modi per far cadere l’agente ChatGPT in questi attacchi.”
Questa ammissione è stata vista da molti nella comunità della sicurezza come un riconoscimento schietto e necessario dei rischi inerenti alla nuova ondata di intelligenza artificiale agentica.
Un”problema di sicurezza irrisolto”
L’iniezione tempestiva non è un problema nuovo o isolato. Winbuzzer ha già segnalato vulnerabilità simili, come la falla di prompt injection indiretta scoperta nel browser Comet di Perplexity all’inizio di quest’anno.
Un rapporto del team di sicurezza di Brave ha descritto la falla come una sfida sistemica che tutti i browser basati sull’intelligenza artificiale devono affrontare.”…il prompt injection indiretto non è un problema isolato, ma una sfida sistemica che deve affrontare l’intera categoria dei browser basati sull’intelligenza artificiale.”Il pericolo principale risiede nell’incapacità di un agente IA di distinguere tra le istruzioni di un utente e i comandi dannosi incorporati nel contenuto che elabora.
Ciò può trasformare l’IA in un”sostituto confuso”, un classico dilemma della sicurezza informatica in cui un programma dotato di autorità viene indotto con l’inganno a abusarne.
Ad esempio, poche ore dopo il lancio di Atlas, un ricercatore ha dimostrato una nuova”Clipboard Injection”attacco, in cui il codice nascosto su una pagina Web poteva alterare in modo dannoso gli appunti di un utente quando l’agente AI faceva clic su un pulsante, impostando un utente per incollare successivamente un comando dannoso a sua insaputa.
Per i ricercatori di sicurezza, il lancio del browser ha offerto un’opportunità immediata per testare le sue difese contro gli attacchi del mondo reale.
Molti si sono affrettati a pubblicare dimostrazioni che mostrano come potevano convincere Atlas a seguire istruzioni dannose incorporato in Google Docs o nelle pagine web.
Ciò mostra l’alta posta in gioco in quella che alcuni chiamano la seconda guerra dei browser, un conflitto combattuto non sulle funzionalità, ma sull’intelligenza e sull’autonomia, con concorrenti come Perplexity’s Comet sono già sul campo.
Difesa di OpenAI:”Modalità orologio”e altri guardrail
Sebbene la trasparenza di OpenAI sia un passo positivo, gli esperti avvertono che la”difesa in profondità”spesso non è sufficiente per fermare avversari determinati.
Stuckey ha dettagliato diverse misure di sicurezza sovrapposte integrate in Atlas per mitigare questi rischi. Una delle difese principali è una funzionalità chiamata”Modalità disconnessa”, che consente all’agente di navigare e agire per conto di un utente senza avere accesso alle sue credenziali per le sessioni di accesso.
Ieri abbiamo lanciato ChatGPT Atlas, il nostro nuovo browser web. In Atlas, l’agente ChatGPT può fare le cose per te. Siamo entusiasti di vedere come questa funzionalità renda il lavoro e la vita quotidiana più efficienti ed efficaci per le persone.
L’agente ChatGPT è potente e utile e progettato per essere…
— DANΞ (@cryps1s) 22 ottobre 2025
Esperto di intelligenza artificiale Simon Willison lo ha definito un modello”molto intelligente”e testato per le interazioni sandboxing IA.
La più potente”Modalità di accesso”, tuttavia, è quella in cui i rischi aumentano. Per le situazioni che richiedono un accesso autenticato, OpenAI ha implementato un’altra protezione:
“Quando l’agente opera su siti sensibili, abbiamo anche implementato una’Modalità orologio’che ti avvisa… e richiede che tu abbia la scheda attiva per guardare l’agente mentre lavora.”
Questa funzione è progettata per mantenere l’utente aggiornato quando l’agente interagisce con informazioni potenzialmente sensibili. Tuttavia, la società non ha fornito una definizione tecnica chiara di ciò che costituisce un”sito sensibile”.
Un documento ufficiale del centro assistenza rileva che funzionalità come i riepiloghi delle pagine sono bloccate su”alcuni siti Web sensibili (come i siti per adulti)”, ma offre pochi ulteriori dettagli. Questa ambiguità è una delle maggiori preoccupazioni.
Willison ha notato che durante i suoi test, la modalità non si è attivata su siti come GitHub o la sua banca online, concludendo che delegare le decisioni sulla sicurezza agli utenti finali è un”onere ingiusto”.
La comunità della sicurezza risponde con scetticismo e demo dal vivo
La reazione della comunità della sicurezza è stata un mix di elogi per la sincerità di OpenAI e il profondo scetticismo riguardo alle soluzioni proposte.
Il ricercatore sulla sicurezza dell’intelligenza artificiale Johann Rehberger, che ha documentato numerosi attacchi di pronta iniezione, ha affermato che la minaccia è pervasiva.
“Ad alto livello, la pronta iniezione rimane una delle principali minacce emergenti nella sicurezza dell’intelligenza artificiale… la minaccia non ha una mitigazione perfetta, proprio come gli attacchi di ingegneria sociale contro gli esseri umani.”
Willison ha fatto eco a questo sentimento, sostenendo che i guardrail sono spesso insufficienti contro gli aggressori motivati. I
Lui avverte che nella sicurezza delle applicazioni, qualcosa di quasi perfetto non è abbastanza.
“Come ho scritto prima, nella sicurezza delle applicazioni il 99% è un fallimento. Se c’è un modo per superare i guardrail… un aggressore motivato riuscirà a capirlo.”
Il lancio di Atlas ha già avuto un impatto tangibile sul mercato, evidenziando l’elevata posta in gioco nel rinnovato guerre dei browser. Dopo l’annuncio, le azioni di Alphabet sono inizialmente scese del 3%, con una perdita di circa 18 miliardi di dollari in valore di mercato, prima di riprendersi.
Tuttavia, analisti come Gene Munster di Deepwater Asset Management hanno sostenuto che Atlas non è un’esperienza”10 volte migliore”e che Google può facilmente copiare le sue funzionalità, rendendo difficile per il nuovo browser acquisire una quota di mercato significativa.
In definitiva, OpenAI si trova a navigare in una situazione difficile, guerra su due fronti. Da un lato, deve offrire un prodotto così avvincente da poter spezzare la morsa di Google sulle abitudini degli utenti.
Dall’altro, deve essere pioniere nella sicurezza per un nuovo paradigma informatico carico di rischi senza precedenti. Mentre l’azienda lavora per rafforzare la fiducia degli utenti, la community più ampia della sicurezza osserverà e testerà ogni fase del percorso.
