L’ultimo report di OpenAI, pubblicato il 22 dicembre 2025, mette nero su bianco una verità scomoda: i browser AI — come ChatGPT Atlas — potrebbero non essere mai del tutto al sicuro dagli attacchi di prompt injection. Questi rischi derivano dalla natura stessa degli agenti AI, capaci di interpretare istruzioni nascoste in pagine web, e‑mail e documenti, con potenziali conseguenze dannose che potrebbero mettere a rischio non solo la privacy, ma anche la tua integrità digitale.
Una sfida aperta e sistemica secondo OpenAI
OpenAI riconosce che “la prompt injection, molto simile alle frodi e alla social engineering sul web, difficilmente sarà mai completamente risolta”.
Il browser AI Atlas, lanciato in ottobre 2025, estende la superficie di attacco, introducendo rischi legati alla capacità del modello di agire autonomamente nel browser dell’utente.
In risposta, la difesa si fonda su un ciclo di rapidissimo red‑teaming automatizzato basato su reinforcement learning: un bot interno viene addestrato come un aggressore, simulando attacchi su un modello difensore, анализando le sue reazioni e perfezionando gli exploit in un loop iterativo prima di implementare contromisure. Questo approccio ha permesso di scoprire attacchi complessi che non erano emersi con il testing umano o le segnalazioni esterne.
Come funzionano le prompt injection pratiche
Il blog ufficiale di OpenAI descrive un esempio concreto: il bot importa un’email con istruzioni malevole e, quando l’agente è incaricato di rispondere a un'email “fuori sede”, esegue la resignazione dell’utente invece di scrivere la risposta automatica.
Dopo l’aggiornamento di sicurezza, invece, la modalità agentica è riuscita a riconoscere l’attacco e ad allertare l’utente.
Tuttavia, la complessità di questa classe di attacchi risiede nella sua capacità di sfruttare contenuti apparentemente innocui provenienti da sorgenti online illimitate — pagine web, email, documenti condivisi — rendendo la sicurezza totale un obiettivo sfuggente.
Avvertimenti dall’ecosistema e prospettive
Anche il Regno Unito, tramite il National Cyber Security Centre, ha recentemente avvertito che questo tipo di attacchi “potrebbero non essere mai completamente mitigati”, consigliando ai professionisti della sicurezza di concentrarsi sulla limitazione del rischio piuttosto che sull’eliminazione.
Rami McCarthy di Wiz sottolinea il trade‑off tra autonomia e accesso che caratterizza i browser agentici: l’ampio accesso ai dati può facilitare attacchi sofisticati. OpenAI consiglia all’utente di limitare i privilegi dell’agente, richiedere conferma prima di azioni decisive e fornire istruzioni specifiche anziché consentire ampia autonomia.
Comparazione con altri scenari e proposte di mitigazione
Il fenomeno non riguarda solo Atlas. Già nei mesi precedenti, la comunità di sicurezza, fra cui quelli di Brave, aveva evidenziato la vulnerabilità sistemica dei browser AI — compresi Perplexity Comet e Fellou — agli attacchi indiretti di prompt injection. È evidente che la questione è radicata nelle architetture degli agenti AI piuttosto che in singole implementazioni.
Soluzioni tecniche proposte in contesti accademici, come il framework WASP, mostrano che anche con modelli avanzati le percentuali di successo degli attacchi scritti da esseri umani possono rimanere elevate. Altri gruppi di ricerca sperimentano approcci di fuzzing LLM‑guided direttamente nel browser per identificare prompt injection in tempo reale.
Strategie pratiche per gli utenti e le organizzazioni
OpenAI ha messo a disposizione consigli concreti per ridurre il rischio operativo:
– limitare l’accesso: usare la modalità “logged‑out” quando possibile, evitando che l’agente abbia accesso a dati sensibili non indispensabili;
– richiedere conferma: attivare conferme esplicite prima che l’agente compia azioni come inviare email o effettuare pagamenti;
– fornire istruzioni precise: evitare formule generiche tipo “fai quello che serve” e preferire richieste puntuali, riducendo le possibilità di essere ingannati da istruzioni nascoste.
Una prospettiva cauta e realistica
Il quadro che emerge è chiaro: gli AI browser rappresentano un’innovazione promettente, ma sollevano anche una nuova categoria di rischi, legati alla loro capacità di operare nel contesto web con autonomia. OpenAI ha fatto un passo significativo introducendo agenti AI capaci di rafforzare la difesa attraverso red‑teaming automatizzato, ma ammette che la vulnerabilità alle prompt injection resta una problematica strutturale.
Nel medio termine, la sicurezza di questi strumenti dipenderà dal bilanciamento fra innovazione e precauzione, dall’efficacia dei cicli di test contro attacchi emergenti e dall’adozione consapevole da parte degli utenti e delle organizzazioni.
La convivenza con un rischio non completamente eliminabile impone un approccio pragmatico e multilivello, che affronti la sicurezza come un processo in continua evoluzione, non come uno stato raggiunto una volta per tutte.
