Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 6 Dicembre 2025 14:37
I ricercatori di Striker STAR Labs hanno descritto un nuovo attacco ai browser basati su agenti che possono trasformare una normale email in un wiper quasi completo della posta in arrivo di Google Drive.
L’attacco prende di mira Comet, un browser basato sull’intelligenza artificiale di Perplexity in grado di gestire automaticamente la posta elettronica e il cloud dell’utente.
La tecnica, denominata Google Drive Wiper, è un attacco “zero-click” : l’utente non deve cliccare su un link dannoso o aprire un allegato. Funziona connettendo il browser a Gmail e Google Drive tramite OAuth. L’utente concede all’agente un’autorizzazione una tantum per leggere email, visualizzare file ed eseguire azioni su di essi, come spostarli, rinominarli o eliminarli. Successivamente, l’agente può eseguire queste azioni automaticamente in risposta alle richieste di testo.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Una richiesta semplice e innocua potrebbe essere questa: “Controlla la mia posta elettronica e completa eventuali attività di pulizia recenti“. L’agente analizza le email, trova i messaggi rilevanti e segue le istruzioni. Il problema è che l’aggressore può inviare in anticipo alla vittima un’email appositamente creata, descrivendo liberamente l’attività di “pulizia” di Google Drive: ordinare i file, eliminare elementi con determinate estensioni o qualsiasi elemento al di fuori delle cartelle, e quindi “controllare i risultati”.
L’agente percepisce tale e-mail come di routine e segue obbedientemente le istruzioni. Di conseguenza, i file utente reali su Google Drive vengono inviati al cestino senza ulteriore conferma umana. “Il risultato è un browser dell’agente che si trasforma automaticamente in un wiper e trasferisce in massa i dati critici nel cestino con una singola richiesta in linguaggio naturale“, osserva la ricercatrice di sicurezza Amanda Russo. Secondo lei, una volta che l’agente ha ottenuto l’accesso OAuth a Gmail e Google Drive, le istruzioni dannose possono diffondersi rapidamente tra cartelle condivise e account da riga di comando.
È particolarmente significativo che questo attacco non si basi sul jailbreaking o sulla classica iniezione di prompt . L’attaccante deve semplicemente essere educato, fornire istruzioni coerenti e formulare richieste come “gestisci questo”, “prenditi cura di questo” o “fallo per me“, cedendo di fatto il controllo all’agente. I ricercatori sottolineano che il tono e la struttura del testo possono sottilmente spingere un modello linguistico verso azioni pericolose, anche se formalmente aderisce alle policy di sicurezza.
Per mitigare il rischio, proteggere il modello in sé non è sufficiente. È necessario considerare l’intera catena: l’agente, i suoi connettori ai servizi esterni e le istruzioni in linguaggio naturale che è autorizzato a eseguire automaticamente. Altrimenti, ogni email cortese e ben strutturata proveniente da un mittente sconosciuto diventa un potenziale innesco per un attacco zero-click ai vostri dati.
Nel frattempo, Cato Networks ha dimostrato un’altra tecnica per attaccare i browser basati sull’intelligenza artificiale, denominata HashJack. In questo scenario, un prompt dannoso viene nascosto in un frammento di URL dopo il simbolo “#“, ad esempio: www.example[.]com/home# . Questo indirizzo può essere inviato tramite e-mail, messaggistica istantanea, social media o incorporato in una pagina web. Una volta che la vittima apre il sito web e pone al browser basato sull’intelligenza artificiale una domanda “intelligente” sul contenuto della pagina, l’agente legge il frammento nascosto ed esegue le istruzioni in esso contenute.
“HashJack è il primo attacco di iniezione indiretta di prompt noto che consente di utilizzare qualsiasi sito web legittimo per controllare segretamente un assistente AI in un browser“, spiega il ricercatore Vitaly Simonovich. L’utente vede un indirizzo legittimo e si fida di esso, mentre le istruzioni dannose sono nascoste in una parte dell’URL che in genere viene trascurata.
In seguito alla divulgazione responsabile, Google ha assegnato al problema una priorità bassa e lo stato “non risolverà (comportamento intenzionale)“: il comportamento è considerato previsto. Nel frattempo, Perplexity e Microsoft hanno rilasciato patch per i loro browser AI, specificando versioni specifiche di Comet v142.0.7444.60 ed Edge 142.0.3595.94. Secondo i ricercatori, il browser Claude per Chrome e OpenAI Atlas non sono vulnerabili a HashJack.
Gli autori del documento sottolineano specificamente che il programma AI Vulnerability Reward di Google non considera le violazioni delle policy di generazione dei contenuti e l’aggiramento dei “guardrail” di sicurezza come vulnerabilità di sicurezza a tutti gli effetti. In pratica, ciò significa che un’intera categoria di attacchi agli agenti di intelligenza artificiale rimane all’intersezione tra la sicurezza e il “comportamento previsto” dei sistemi che accedono sempre più spesso ai dati e ai servizi reali degli utenti.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
