AI Sidebar Spoofing: nuovo pericolo per i browser AI
Topic
Approfondimenti
Trending
tutti

AI Sidebar Spoofing: nuovo pericolo per i browser AI

AI Sidebar Spoofing è una tecnica che sfrutta estensioni per mostrare una barra laterale fasulla nei browser AI, come Perplexity Comet e ChatGPT Atlas.
AI Sidebar Spoofing: nuovo pericolo per i browser AI
Sicurezza Business AI
AI Sidebar Spoofing è una tecnica che sfrutta estensioni per mostrare una barra laterale fasulla nei browser AI, come Perplexity Comet e ChatGPT Atlas.
Google AI Studio

I ricercatori di sicurezza continuano a scoprire nuovi punti deboli dei browser AI. L’ultima vulnerabilità sfrutta la barra laterale di Perplexity Comet e ChatGPT Plus, ovvero il mezzo attraverso il quale gli utenti interagiscono con l’agente AI. Usando un’estensione è possibile mostrare una barra laterale fasulla. L’attacco è stato denominato AI Sidebar Spoofing.

Descrizione dell’attacco

La barra laterale (sidebar) è l’elemento dell’interfaccia che permette gli utenti di interagire con l’agente AI integrato nei browser, quindi di digitare la richiesta e ottenere la risposta. I ricercatori di SquareX ha trovato il modo di nascondere la vera barra laterale ed eseguire varie azioni pericolose tramite AI Sidebar Spoofing.

L’attacco prevede tre step. La vittima installa un’estensione infetta simile a quella legittima. Quando apre il browser AI, l’estensione inietta codice JavaScript nella pagina del sito web e crea una barra laterale identica a quella del browser. L’estensione passa il prompt al modello AI sottostante e mostra una risposta con istruzioni ingannevoli che molti utenti eseguiranno perché non hanno le competenze per comprendere la loro pericolosità.

Gli esperti di SquareX hanno descritto tre esempi per evidenziare le conseguenze. La prima estensione fasulla sembra un tool AI di marketing. L’utente chiede le istruzioni da seguire per vendere criptovalute con Binance. L’estensione mostra il link alla piattaforma di exchange, ma l’URL è quello di un sito di phishing. L’ignara vittima effettua il login e i cybercriminali rubano tutte le criptovalute dal suo wallet.

La seconda estensione mostra un sito fake, quando l’utente cerca servizi di file sharing. Nella home page c’è un pulsante “Login con Google“. Viene quindi chiesto il permesso di accedere a Gmail e Google Drive. I cybercriminali possono così leggere/scrivere email per conto dell’utente ed esfiltrare i file dal servizio di cloud storage.

La terza estensione fornisce invece le istruzioni per installare il package manager Homebrew. È tutto corretto tranne il comando per l’installazione. Viene indicato il comando per installare una reverse shell, attraverso la quale i cybercriminali prendono il controllo del dispositivo.

L’attacco AI Sidebar Spoofing è più pericoloso per i browser AI, ma funziona anche con i browser tradizionali (quasi tutti hanno una barra laterale). I ricercatori hanno contattato Perplexity e OpenAI, ma non hanno ricevuto nessuna risposta.

Fonte: Bleeping Computer

Pubblicato il 23 ott 2025

Link copiato negli appunti

Ti potrebbe interessare

NordVPN ora al 75% di sconto con 3 mesi gratis in regalo

NordVPN ora al 75% di sconto con 3 mesi gratis in regalo
Violazione privacy: prosegue indagine su Lusha

Violazione privacy: prosegue indagine su Lusha
Windows 11 25H2: supporto MCP per agenti AI

Windows 11 25H2: supporto MCP per agenti AI
Gli sconti di NordVPN non si fermano: per il Cyber Monday -74% e 3 mesi gratis

Gli sconti di NordVPN non si fermano: per il Cyber Monday -74% e 3 mesi gratis
NordVPN ora al 75% di sconto con 3 mesi gratis in regalo

NordVPN ora al 75% di sconto con 3 mesi gratis in regalo
Violazione privacy: prosegue indagine su Lusha

Violazione privacy: prosegue indagine su Lusha
Windows 11 25H2: supporto MCP per agenti AI

Windows 11 25H2: supporto MCP per agenti AI
Gli sconti di NordVPN non si fermano: per il Cyber Monday -74% e 3 mesi gratis

Gli sconti di NordVPN non si fermano: per il Cyber Monday -74% e 3 mesi gratis
Luca Colantuoni
Pubblicato il
23 ott 2025
Link copiato negli appunti