Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Un'immagine suggestiva e dal tono cyberpunk mostra un tablet appoggiato a una parete di roccia grezza in un ambiente sotterraneo o post-apocalittico. Lo schermo, luminoso e vivido, visualizza l'icona del browser Firefox: la celebre volpe di fuoco avvolta attorno a un globo blu, resa con colori caldi e saturati. L'atmosfera è resa tecnologica e misteriosa da effetti di distorsione digitale, glitch e particelle luminose che fluttuano intorno al dispositivo. Il terreno circostante è coperto di detriti, polvere e cavi elettrici sparsi, creando un forte contrasto tra la modernità del software e la decadenza del contesto fisico, quasi a suggerire la sopravvivenza della rete in un mondo in rovina.

Vulnerabilità Firefox: chatbot AI ricevono informazioni sensibili senza consenso utente

21 Giugno 2026 08:55
In sintesi

Una recente vulnerabilità in Firefox consente a siti malevoli di sfruttare l'integrazione con chatbot AI per estrarre dati sensibili. La falla risiede nella gestione delle intestazioni della pagina, permettendo l'invio di comandi nascosti agli assistenti virtuali. Questa minaccia non è limitata a Firefox e sottolinea i rischi delle integrazioni con sistemi di intelligenza artificiale.

Una vulnerabilità nel browser Firefox ha recentemente sollevato preoccupazioni per la sicurezza informatica.

La falla, scoperta da Florian Port di ERNW, riguarda l’integrazione del browser con chatbot basati su intelligenza artificiale come Claude e Copilot. Quando un utente utilizza una funzione di riassunto o spiegazione del testo, Firefox invia il contenuto della pagina a una pannello laterale che ospita il chatbot.

Questo processo può essere sfruttato da siti malevoli per estrarre informazioni sensibili dagli account degli utenti e inviarle agli attaccanti.

Advertising

La vulnerabilità risiede nel modo in cui viene gestito l’intestazione della pagina. Un sito malevolo può inserire comandi nascosti nell’intestazione, che vengono poi inviati al chatbot come se fossero stati generati dall’utente stesso. In una dimostrazione, utilizzando Copilot, è stato mostrato come un sito malevolo potesse estrarre il codice di conferma da un’e-mail di Booking.com e inviarlo a un dominio controllato dagli attaccanti. L’utente, ignaro della manipolazione, vede solo l’inizio del nome della scheda.

D1809491c79b49878ce487e3fb573e0c

Mozilla, ha ricevuto la segnalazione del bug di sicurezza il 20 ottobre 2025 e ha confermato il problema il giorno successivo. La collaborazione con Microsoft ha portato a una soluzione che ha limitato la lunghezza dell’intestazione della pagina, rendendo quindi meno probabile un attacco reale.

Questa vulnerabilità non è limitata a Firefox; qualsiasi applicazione che invia dati esterni in richieste da parte dell’utente potrebbe essere a rischio. La vulnerabilità evidenzia i pericoli delle integrazioni con sistemi di intelligenza artificiale, dove le richieste possono essere facilmente manipolate.

La funzionalità di riepilogo presenta ad oggi un bug quando si utilizza Copilot. Quando si utilizzano altri chatbot, la soluzione attualmente implementata da Mozilla sembra essere quella di limitare la lunghezza del titolo della pagina, rendendo molto improbabile un’iniezione di prompt efficace.

Questo non risolve il problema principale, ovvero l’incorporazione di input esterni in un prompt formulato per conto dell’utente. Tuttavia, rende improbabile uno sfruttamento della vulnerabilità.

Advertising

📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Carolina Vivianti 300x300
Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.
Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance