I browser dotati di funzionalità AI avanzate rappresentano una delle innovazioni più discusse dell’ultimo anno, grazie alla promessa di navigazione assistita, automazione delle attività e integrazione nativa con agenti intelligenti. Ma per Gartner, almeno per ora, questi strumenti sono troppo rischiosi per essere adottati in ambienti aziendali. È il messaggio netto contenuto nel nuovo studio Cybersecurity Must Block AI Browsers for Now firmato dagli analisti Dennis Xu, Evgeny Mirolyubov e John Watts, che analizza criticità, scenari e possibili contromisure.

La categoria dei cosiddetti “AI browsers” include strumenti come Perplexity Comet o il più recente ChatGPT Atlas. Si tratta di browser costruiti intorno a due pilastri:

  • Una sidebar AI capace di riassumere contenuti, effettuare ricerche, tradurre o interagire con le pagine web
  • Una componente agentica che consente all’AI di muoversi autonomamente online, navigando, cliccando, compilando form e completando transazioni anche all’interno di sessioni autenticare.

È proprio questa combinazione di analisi dei contenuti e automazione che, secondo Gartner, apre a una quantità significativa di superfici d’attacco.

Il primo e più immediato problema riguarda la gestione dei dati. Le impostazioni predefinite di questi browser, pensate per offrire un’esperienza frictionless, inviano spesso a un backend cloud porzioni sensibili di attività dell’utente, come contenuti attivi, pagine aperte, cronologia o schede di lavoro interne.

In altre parole, tutto ciò che viene visualizzato potrebbe essere automaticamente processato da modelli AI remoti. Gartner avverte che questo meccanismo, se non configurato in modo restrittivo e controllato a livello centralizzato, rischia di esporre informazioni riservate o addirittura confidenziali, con impatti potenzialmente enormi per aziende vincolate da normative stringenti.

CISO browser AI

La mitigazione, in teoria, è possibile, ma occorre valutare con estrema cura l’infrastruttura AI del provider, verificare politiche di retention, cifratura, isolamento dei dati e governance complessiva del servizio. Anche quando un’azienda ritiene accettabile il livello di rischio, gli analisti suggeriscono comunque di formare i dipendenti affinché comprendano esattamente cosa viene inviato all’AI, ricordando loro che la sidebar potrebbe elaborare automaticamente qualunque contenuto presente nella scheda attiva. Un approccio particolarmente complesso da far rispettare in ambienti in cui la produttività è molto più tangibile dei rischi astratti sulla sicurezza.

Il vero timore di Gartner, tuttavia, non è limitato alla privacy. A preoccupare è soprattutto la componente agentica, ovvero la capacità del browser di prendere decisioni autonome e completare azioni sulla base di prompt o analisi contestuali. Questa automazione espone il sistema a tre categorie di attacchi:

  • Prompt-injection indirette che manipolano l’agente portandolo a eseguire operazioni dannose
  • Errori decisionali dovuti a ragionamenti imprecisi del modello
  • Perdita di credenziali o l’accesso involontario a siti di phishing se l’agente viene ingannato durante la navigazione automatica

In tutti questi scenari, il rischio non deriva da un attacco diretto al sistema, ma dalla capacità dell’AI di agire a nome dell’utente in un contesto web sempre più complesso.

Gli analisti spingono inoltre a considerare un aspetto più pragmatico e umano. I dipendenti potrebbero infatti essere tentati di usare gli agenti per automatizzare attività ripetitive o noiose, inclusi processi obbligatori come i moduli di compliance o le sessioni di cybersecurity training. In altri casi, l’accesso dell’agente a portali interni, strumenti di procurement o sistemi gestionali potrebbe tradursi in azioni indesiderate, dall’ordine errato di materiali alla compilazione non corretta di documenti amministrativi. Le implicazioni operative possono variare dal banale al potenzialmente molto costoso.

Alcune misure preventive esistono e consistono nel limitare la possibilità per gli agenti di inviare email, disattivare funzioni di memoria persistente o confinare le automazioni in sandbox protette può ridurre la portata del rischio. Tuttavia, per Gartner, al momento tutto questo non basta. Il consiglio generale è bloccare l’installazione dei browser AI finché non sarà possibile effettuare valutazioni precise e instaurare solide politiche di controllo. Anche dopo un’eventuale approvazione, è comunque probabile che le aziende si trovino costrette a definire lunghi elenchi di scenari vietati e a monitorare costantemente il comportamento degli agenti AI.