Uno studio dell’USENIX Security Symposium pubblicato nell’agosto 2025 ha rivelato che le popolari estensioni del browser AI raccolgono dati sensibili degli utenti, tra cui cartelle cliniche, informazioni bancarie, numeri di previdenza sociale e attività sui social media. L’analisi è stata condotta da ricercatori dell’University College di Londra, dell’Università Mediterranea di Reggio Calabria e dell’Università della California, Davis. I risultati hanno evidenziato i rischi per la privacy nei browser web assistiti dall’intelligenza artificiale che hanno guadagnato terreno sin dalla loro introduzione nel 2025. I browser assistiti dall’intelligenza artificiale come Atlas di OpenAI e Comet di Perplexity offrono funzionalità come riepiloghi di siti Web, ricerche perfezionate, chatbot ed esecuzione autonoma di attività. Questi strumenti mettono alla prova i browser più affermati, tra cui Google Chrome, che detiene il 70% del mercato globale, Safari, Edge e Firefox. Altri partecipanti includono le integrazioni di Opera Neon, Dai e ChatGPT. McKinsey & Company prevede che l’industria dei browser genererà entrate per 750 miliardi di dollari entro il 2028. I browser AI funzionano attraverso chatbot persistenti che analizzano le pagine web aperte e modalità agentiche che gestiscono attività come la compilazione di moduli, lo shopping su Amazon o la modifica di saggi. Elaborano il contenuto della pagina Web insieme a richieste precedenti, cronologie di ricerca e interazioni senza istruzioni per l’utente. Le estensioni del browser fungono da interfacce per modelli come ChatGPT di OpenAI, Gemini di Google e Llama di Meta. Le estensioni inseriscono script di contenuto nelle pagine Web tramite addetti ai servizi in background, consentendo lo scraping autonomo dei dati. Ciò differisce dai chatbot basati sul Web, che elaborano solo i dati immessi dall’utente. Lo studio USENIX si è concentrato sulle estensioni del browser piuttosto che sui browser completi, poiché leader come Atlas e Comet sono stati lanciati dopo il suo completamento. Le estensioni esaminate includevano ChatGPT per Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind e Microsoft’s Copilot. I ricercatori hanno simulato la navigazione in contesti privati e pubblici: leggere notizie, guardare video su YouTube, guardare materiale pornografico e compilare moduli fiscali. Le estensioni hanno acquisito immagini e testo come diagnosi mediche, numeri di previdenza sociale e preferenze delle app di appuntamenti. Merlin ha trasmesso dettagli bancari e dati sanitari. Merlin e Sider AI hanno registrato l’attività anche in modalità di navigazione privata. L’analisi del traffico dopo la decrittazione ha mostrato trasmissioni ai server aziendali e ai tracker di terze parti. Sider e TinaMind hanno condiviso i suggerimenti degli utenti e gli indirizzi IP con Google Analytics, facilitando il monitoraggio tra siti. Copilot di Microsoft conservava la cronologia delle chat durante le sessioni nella memoria del browser. Google, Copilot, Monica, ChatGPT e Sider hanno profilato gli utenti per età, sesso, reddito e interessi per risposte personalizzate su più sessioni. Perplexity è emerso come lo strumento più rispettoso della privacy tra gli strumenti testati. Non ricorda le interazioni precedenti e i suoi server evitano i dati personali dagli spazi privati. Perplexity elabora ancora i titoli delle pagine e la posizione dell’utente. OpenAI ha rilasciato Atlas dopo lo studio. OpenAI afferma che Atlas analizza selettivamente i contenuti, ma elabora tutte le immagini e il testo del sito web. Le funzionalità di memoria opzionali memorizzano gli elementi della cronologia di navigazione per personalizzare le esperienze. Gli utenti non possono specificare quali aspetti del sito vengono recuperati dal browser. La pagina di aiuto di OpenAI consiglia di rimuovere pagine dalla finestra di chat, bloccare URL sensibili o eliminare la cronologia per limitare l’esposizione. Atlas include due impostazioni relative ai dati. “Migliora il modello per tutti” si attiva per impostazione predefinita e consente a OpenAI di utilizzare i dati delle pagine Web dalle query di chatbot per l’addestramento ChatGPT. “Includi navigazione web” incorpora la cronologia di navigazione completa nell’addestramento. OpenAI rende anonimi i dati prima dell’uso formativo, anche se le specifiche sui confini rimangono limitate. Gli utenti possono disabilitare entrambe le impostazioni. Comet di Perplexity memorizza la cronologia delle ricerche localmente sui dispositivi degli utenti, non sui server. Accede a URL, testo, immagini, query di ricerca, cronologia dei download e cookie per le funzioni principali. La modalità agente di Comet e lo strumento Memoria analizzano la cronologia e le preferenze della ricerca. Il browser richiede l’accesso all’account Google, che copre e-mail, contatti, impostazioni e calendari, con l’attivazione di integrazioni di terze parti. La pagina esplicativa di Perplexity descrive in dettaglio le impostazioni dei dati. Gli esperti consigliano di limitare la barra laterale del chatbot alle pagine non sensibili. Le aziende di intelligenza artificiale spesso riutilizzano i dati degli utenti archiviati per l’addestramento di modelli linguistici di grandi dimensioni senza un consenso esplicito. Questa pratica si estende oltre l’intelligenza artificiale ai social media, ai rivenditori, ai motori di ricerca e ai servizi di messaggistica attraverso accordi opachi e opt-in predefiniti. I browser accedono a informazioni più sensibili rispetto ad altre piattaforme. OpenAI ha soddisfatto 105 richieste di dati da parte del governo statunitense nella prima metà del 2025. Le vulnerabilità della sicurezza aggravano i problemi di privacy. Gli attacchi di tipo prompt injection consentono agli hacker di incorporare contenuti dannosi nei backend dei browser, indistinguibili dagli input legittimi. Questi consentono il phishing e il furto di credenziali, dettagli bancari e dati personali. Uno studio di Brave dell’ottobre 2025 ha descritto le iniezioni tempestive come una sfida sistemica per i browser AI, aumentando i rischi di phishing. LayerX Security ha riferito che gli utenti di Perplexity Comet affrontano una vulnerabilità maggiore dell’85% a tali attacchi rispetto agli utenti di Chrome. Dane Stuckey, Chief Information Officer di OpenAI, ha dichiarato su X che la pronta iniezione “rimane un problema di sicurezza irrisolto e di frontiera”. Il blog di Perplexity ha invitato le aziende di intelligenza artificiale a “ripensare la sicurezza da zero”. I ricercatori USENIX hanno testato le estensioni in scenari controllati per misurare l’acquisizione dei dati. Nella navigazione delle notizie, le estensioni registrano il testo e le immagini degli articoli. Le sessioni di YouTube hanno comportato l’acquisizione di miniature di video e lo scraping dei commenti. I siti di pornografia hanno portato alla registrazione di immagini e preferenze. Le simulazioni dei moduli fiscali hanno esposto i numeri di previdenza sociale e i dettagli finanziari. Il traffico decrittografato proveniente da Merlin ha mostrato la trasmissione in chiaro di dati sanitari, comprese diagnosi come note sulla gestione del diabete e accessi bancari con numeri di conto. I pacchetti di Sider AI includevano indirizzi IP abbinati a prompt contenenti identificatori personali. TinaMind ha instradato dati simili agli endpoint di Google Analytics. L’archiviazione locale di Copilot conservava i registri delle conversazioni, comprese le domande sulla pianificazione finanziaria legate ai dettagli sulle entrate dei siti precedenti. Esempi di profilazione includevano Sider che deduceva il sesso dell’utente dai siti di shopping e l’età dalle preferenze delle notizie, applicandoli a consigli simili agli annunci. Le limitazioni di Perplexity impedivano la memoria delle sessioni incrociate, bloccando la profilazione. I log del suo server contenevano solo metadati come titoli di pagina (“Login – Bank of America”) e coordinate di geolocalizzazione, senza payload di contenuti da schede private. La documentazione Atlas conferma l’OCR delle immagini e l’estrazione del testo in tutte le schede. Le istantanee della memoria includono elenchi di URL e cronologie riepilogate, come “Carrello Amazon visitato con prodotti elettronici”. Gli opt-in per la formazione elaborano i dati attraverso pipeline di anonimizzazione, hashing degli IP e sessioni di aggregazione, secondo le informative di OpenAI. L’archiviazione locale di Comet utilizza IndexedDB per le cronologie, sincronizzandosi facoltativamente con gli account Perplexity. L’integrazione di Google richiede ambiti OAuth per l’accesso in lettura/scrittura a Gmail e Calendar. Strumenti di terze parti come Zapier si connettono tramite chiavi API. Le richieste del governo a OpenAI riguardavano mandati di comparizione per indagini sulle minacce e mandati di sicurezza nazionale, coprendo 6.000 account utente. I registri di conformità dettagliano i tipi di dati: chat, file e tracce IP. L’analisi di ottobre di Brave ha simulato 500 tentativi di injection su tutti i browser. I modelli di intelligenza artificiale hanno eseguito il 72% dei messaggi dannosi, contro il 4% dei browser tradizionali. LayerX ha testato 1.200 utenti: le sessioni Comet hanno prodotto 2,1 exploit all’ora, Chrome 1.1. I meccanismi di inserimento delle estensioni si basano sugli operatori del servizio Manifest V3, che garantiscono autorizzazioni di schede ampie. L’autonomia deriva da “content_scripts” che corrisponde a tutti gli URL, collegando gli alberi DOM ai LLM. Il contesto di mercato mostra la quota di Chrome del 70% dai dati StatCounter alla fine del 2025. I browser AI hanno catturato il 12% combinato, secondo SimilarWeb. Le integrazioni AI di Firefox hanno aumentato la sua quota all’8%.
Source: Un importante studio USENIX rileva che le estensioni del browser AI stanno rubando i tuoi dati
