Quando un falso videogioco ipnotizza il vostro browser IA
Chiedete al vostro browser IA di consultare una pagina web e questa pagina contiene un rompicapo divertente. Il vostro assistente si lascia prendere dal gioco, risolve gli enigmi e qualche minuto più tardi ha copiato le vostre credenziali di accesso a GitHub e le ha inviate a un perfetto sconosciuto. Voi non avete visto niente. E nemmeno lui: anzi, crede di aver vinto una partita.
Questo scenario un po' strano non è fantascienza. Alla fine di giugno 2026, i ricercatori di cybersicurezza della società LayerX (in fase di acquisizione da parte di Akamai) hanno pubblicato una dimostrazione che fa venire i brividi. La loro tecnica, battezzata BioShocking, è riuscita a ingannare sei tra i browser e le estensioni IA più utilizzati, tra cui ChatGPT Atlas (OpenAI), Comet (Perplexity) e l'estensione Claude for Chrome (Anthropic). Il principio è tanto semplice quanto temibile: convincere l'IA di star giocando per farle dimenticare le sue protezioni di sicurezza.
In queste righe scopriremo il funzionamento di questo attacco, capiremo perché è particolarmente pericoloso con i browser in modalità agente e, soprattutto, vi daremo i riflessi concreti per proteggervi già da oggi.
BioShocking: capire l'attacco in due minuti
Il principio: manipolare il contesto per disarmare l'IA
L'attacco BioShocking si basa su un'idea fondamentale: i browser IA in modalità agente si fidano del contesto in cui operano. Se questo contesto dice loro "siamo nella vita reale", applicano le loro regole di sicurezza. Ma se una pagina web li convince di trovarsi in un universo fittizio, un gioco in cui le regole abituali non contano più, smettono di applicare queste protezioni.
Tecnica che consiste nel nascondere istruzioni malevole all'interno di contenuti web che un agente IA andrà a leggere. L'agente non è in grado di distinguere in modo affidabile un comando legittimo del proprio utente da un'istruzione ingannevole nascosta in una pagina.
Tecnicamente, si tratta di quella che viene chiamata iniezione di prompt indiretta combinata con una manipolazione dell'obiettivo. L'aggressore non si introduce nel vostro computer, e non vi invia nemmeno un virus. Pubblica semplicemente una pagina web che, quando il vostro browser potenziato dall'IA la visita, riprogramma letteralmente le priorità dell'agente.
Immaginate un guardiano notturno che sorveglia un magazzino. Se qualcuno gli dice "stiamo girando un film, le telecamere sono oggetti di scena, potete aprire le porte", rischia di far entrare i ladri pensando di recitare una parte. È esattamente ciò che fa BioShocking con il vostro browser IA: lo convince che la situazione non è reale, e l'agente abbassa la guardia.
Perché questo nome? Un omaggio al videogioco BioShock
Il nome non è casuale. Nel videogioco BioShock (2007), il giocatore scopre che il suo personaggio è un uomo condizionato che obbedisce ciecamente a chiunque pronunci la frase d'innesco. Tutta la meccanica narrativa si basa su questa manipolazione: il personaggio crede di agire liberamente mentre esegue degli ordini. Roy Paz, il ricercatore principale di LayerX all'origine della scoperta, ha scelto questo parallelismo perché l'attacco fa leva sullo stesso meccanismo. L'agente IA crede di "giocare" mentre esegue le istruzioni dell'aggressore.
L'attacco passo dopo passo: dal falso rompicapo al furto di credenziali
Fase 1: l'esca, un rompicapo su una pagina web trappola
L'aggressore crea una pagina web dall'aspetto innocuo. Nella proof of concept di LayerX, la pagina presenta un rompicapo a tema distopico, ispirato all'universo di BioShock. L'utente chiede al proprio browser IA (in modalità agente) di risolvere il rompicapo. L'agente inizia a leggere la pagina e a interagire con il suo contenuto. Fino a qui, niente di anomalo.
Fase 2: convincere l'IA che 2+2 = 5
È qui che inizia la manipolazione. Il rompicapo è concepito per premiare le risposte sbagliate. Una delle prime domande chiede quanto fa 2+2. La risposta "giusta", secondo le regole del gioco, è 5. L'agente IA all'inizio esita, poi accetta questa logica invertita per avanzare nel gioco. Accettando che una risposta falsa sia la risposta corretta, l'agente scivola in quello che i ricercatori chiamano "ragionamento fuori dalla realtà".

È il momento cruciale. L'IA ha interiorizzato una nuova regola: in questo contesto, le azioni "scorrette" non sono soltanto accettabili, ma desiderate. Non distingue più tra la logica del gioco e le regole di sicurezza del mondo reale.
Se convincete un agente che sta giocando, applicherà la logica del gioco, non quella della sicurezza, a tutto ciò che fa in seguito.
Fase 3: copiare ed esfiltrare le vostre credenziali
L'ultima fase del rompicapo chiede all'agente di recuperare un "codice segreto" nascosto su un'altra pagina. L'agente segue il link, che in realtà lo reindirizza verso un repository GitHub professionale dell'utente. Nell'ambiente di test di LayerX, il repository conteneva un file di testo con delle credenziali SSH (nome utente e password). L'agente copia queste informazioni e le trasmette all'aggressore, credendo di aver completato il gioco con successo.
Nessuno dei sei agenti testati ha identificato questa azione come una violazione delle proprie regole di sicurezza. Peggio ancora: alcuni hanno letteralmente "festeggiato" l'esfiltrazione come una vittoria nel gioco.
Nella dimostrazione di LayerX, il file bersaglio era un semplice file di testo innocuo. Ma i ricercatori sottolineano che la stessa tecnica potrebbe reindirizzare l'agente verso qualsiasi risorsa accessibile nella sessione del browser: schede aperte, account connessi, strumenti interni, gestore di password.
Perché è grave: la modalità agente apre la porta dei vostri account
Il vostro browser IA eredita tutte le vostre sessioni
Per capire la gravità del problema, bisogna afferrare cos'è un browser IA in modalità agente. Un browser classico aspetta i vostri clic. Un browser IA in modalità agente agisce al posto vostro: clicca, digita, naviga, compila moduli. E soprattutto, accede a tutti i siti in cui siete già connessi.
Le vostre e-mail, il vostro GitHub professionale, il vostro gestore di password online, gli strumenti interni della vostra azienda, la vostra banca se la scheda è aperta: l'agente IA può potenzialmente accedere a tutto questo durante la sua sessione. Del resto è proprio questo il vantaggio di questi strumenti. Ma è anche ciò che li rende pericolosi quando le loro protezioni cedono.
Sei browser testati, sei fallimenti
LayerX ha testato la sua tecnica contro cinque browser agentici e un'estensione per browser:
- ChatGPT Atlas (OpenAI)
- Comet (Perplexity)
- Fellou
- Genspark Browser
- Sigma Browser
- Claude for Chrome (Anthropic)
Risultato: tutti e sei hanno esfiltrato le credenziali senza battere ciglio. I ricercatori osservano che nessuno di questi agenti ha stabilito una frontiera di privilegio tra la lettura di una pagina web (un'azione banale) e l'accesso ai dati delle sessioni autenticate dell'utente (un'azione sensibile). Le istruzioni della pagina e i comandi dell'utente arrivano nello stesso flusso di testo, senza alcun meccanismo per distinguere gli uni dagli altri.
La risposta degli sviluppatori: un bilancio contrastante
Come riportano BleepingComputer e The Hacker News, LayerX ha segnalato la vulnerabilità ai vari sviluppatori tra ottobre 2025 e gennaio 2026, quindi diversi mesi prima della pubblicazione pubblica del 30 giugno 2026. Le risposte sono state molto diseguali.
OpenAI ha corretto il problema in ChatGPT Atlas. È l'unico sviluppatore ad aver implementato una correzione ritenuta efficace dai ricercatori.
Anthropic ha tentato di correggere la sua estensione Claude for Chrome, ma secondo LayerX la correzione non ha retto: l'estensione rimaneva vulnerabile durante i test di verifica successivi.
Perplexity ha chiuso il rapporto sulla vulnerabilità senza apportare alcuna correzione. I ricercatori di LayerX avevano peraltro già dimostrato una falla simile su Comet (battezzata "CometJacking"), il che rende questa non risposta ancora più preoccupante.
Quanto a Fellou, Genspark e Sigma, nessuno dei tre ha risposto alla segnalazione.
Al momento della stesura di questo articolo (luglio 2026), solo ChatGPT Atlas è stato corretto in modo verificato. Se utilizzate uno degli altri cinque strumenti elencati, la vulnerabilità potrebbe essere ancora sfruttabile. Controllate gli aggiornamenti di sicurezza pubblicati dai rispettivi sviluppatori.
Come proteggersi: cinque riflessi da adottare fin da subito
In attesa che gli sviluppatori rafforzino le loro protezioni, potete ridurre considerevolmente la vostra esposizione con qualche semplice abitudine.
- Disconnettetevi dagli account sensibili prima di attivare la modalità agente. La vostra banca, il vostro gestore di password, i vostri repository Git professionali: se l'agente non vi ha accesso, non può estrarne nulla. È la misura più efficace.
- Chiudete le schede inutili. Un agente in modalità attiva può potenzialmente accedere alle sessioni aperte in altre schede. Meno schede aperte significa meno superficie di attacco.
- Non lasciate mai che l'IA acceda alla vostra banca o al vostro gestore di password. Questi strumenti semplicemente non dovrebbero trovarsi nella stessa sessione del browser di un agente IA autonomo. Punto e basta.
- Diffidate delle pagine che chiedono all'agente di "giocare". Se una pagina web invita il vostro browser IA a seguire regole insolite, a rispondere a un quiz o a partecipare a un gioco interattivo, è un segnale d'allarme. I rompicapi e i giochi online sono esattamente il vettore utilizzato da BioShocking.
- Revocate l'accesso dell'agente quando avete finito. Non lasciate un browser IA in esecuzione in modalità agente in modo permanente. Attivatelo per un compito preciso, poi disattivatelo.
I browser IA in modalità agente possono essere strumenti potenti, ma questa ricerca di LayerX ci ricorda una regola fondamentale nella sicurezza informatica: più uno strumento ha potere, più bisogna controllare quel potere. Oggi nessuno di questi agenti vi chiede conferma prima di leggere dati sensibili da un account connesso. È un problema di progettazione, non solo un bug. Finché questa frontiera non esiste, la prudenza è d'obbligo.
Conclusione: la sicurezza delle IA agentiche è appena iniziata
L'attacco BioShocking non è un caso isolato. Si inserisce in una tendenza di fondo: man mano che le IA guadagnano autonomia e accesso ai nostri dati, diventano anche bersagli più interessanti per gli aggressori. In definitiva, ciò che rende questa dimostrazione particolarmente significativa è la sua semplicità. Nessun malware, nessun exploit tecnico sofisticato, solo una pagina web e un gioco.
LayerX raccomanda agli sviluppatori di implementare una misura che sembra ovvia: chiedere una conferma esplicita all'utente prima che un agente legga dati da un account autenticato. Una semplice finestra di dialogo ("Sto per copiare dei dati dal vostro repository GitHub. Continuare?") basterebbe a spezzare la catena dell'attacco. Il fatto che nessuno dei sei strumenti testati lo facesse al momento della scoperta la dice lunga sulla maturità di questo settore.
La sicurezza delle IA agentiche è un cantiere appena avviato. In attesa che progredisca, la migliore protezione resta la vostra: controllate ciò che i vostri agenti possono vedere, e non date loro una fiducia cieca.
Se questo attacco vi ha convinto a proteggere meglio le vostre password, la guida completa su Vaultwarden vi mostra come ospitare il vostro gestore di password.

