La corsa all'intelligenza artificiale sta creando paradossi tecnologici sempre più evidenti: Google si trova ora a dover installare un secondo modello di AI nel browser Chrome per controllare i potenziali danni causati dal primo. L'azienda di Mountain View ha infatti riconosciuto che l'introduzione di funzionalità agentiche basate su Gemini, capaci di navigare autonomamente e interagire con pagine web, ha aperto la porta a nuove minacce informatiche che richiedono soluzioni altrettanto sofisticate. La strategia della società californiana rappresenta un caso emblematico di come l'entusiasmo per l'innovazione debba ora fare i conti con le conseguenze sulla sicurezza.
La minaccia dell'iniezione indiretta di prompt
Nathan Parker, ingegnere della sicurezza di Chrome, ha identificato quella che definisce "la principale nuova minaccia per tutti i browser agentici": l'indirect prompt injection. Si tratta di una vulnerabilità insidiosa che sfrutta la tendenza dei modelli linguistici a seguire istruzioni trovate nei contenuti che elaborano. Un sito web malintenzionato potrebbe inserire comandi nascosti che l'AI interpreta come direttive legittime, inducendola a ignorare i sistemi di protezione predefiniti.
Le implicazioni sono tutt'altro che teoriche. Secondo Parker, questi attacchi possono annidarsi ovunque: in siti dannosi, in contenuti di terze parti caricati tramite iframe, perfino nelle recensioni scritte dagli utenti. Le conseguenze potrebbero includere transazioni finanziarie non autorizzate o la sottrazione di dati sensibili, uno scenario che ha spinto la società di consulenza Gartner a raccomandare alle aziende di bloccare completamente i browser dotati di AI, almeno per il momento.
Il critico dell'allineamento utente
La soluzione escogitata da Google ha un nome che suona quasi filosofico: User Alignment Critic, letteralmente un "critico dell'allineamento con l'utente". Questo secondo modello interviene dopo che l'agente AI ha completato la pianificazione delle azioni, verificando ogni operazione proposta prima dell'esecuzione. Il suo compito è assicurarsi che ciascuna azione corrisponda effettivamente agli obiettivi dichiarati dall'utente, con il potere di porre il veto a qualsiasi comando sospetto.
Parker sottolinea che questo sistema di supervisione è stato progettato specificamente per essere immune agli attacchi: gli autori di contenuti malevoli non possono "avvelenarlo" esponendolo a istruzioni dannose. L'approccio riprende una tecnica chiamata CaMeL (CApabilities for MachinE Learning), formalizzata quest'anno in un documento di Google DeepMind, anche se l'idea originale era stata proposta dallo sviluppatore Simon Willison già nel 2023. Il concetto di utilizzare un modello di machine learning per moderarne un altro sta diventando pratica comune nell'industria dell'AI.
Isolamento delle origini e trasparenza delle operazioni
Oltre al sistema di supervisione tramite AI, Google sta estendendo al mondo degli agenti intelligenti i principi di sicurezza già consolidati per il web tradizionale. Il modello di sicurezza di Internet si basa sulla politica della stessa origine: i siti non dovrebbero accedere a dati provenienti da domini diversi. Chrome applica già l'isolamento dei siti, mantenendo i dati di origini diverse in processi separati, salvo esplicite autorizzazioni tramite CORS.
Questa architettura viene ora adattata agli agenti attraverso una tecnologia chiamata Agent Origin Sets, pensata per impedire che l'intelligenza artificiale di Chrome interagisca con dati di origini arbitrarie. Secondo informazioni raccolte da The Register, alcune di queste funzionalità, in particolare l'estensione dell'isolamento delle origini, sono già integrate nelle versioni correnti del browser, mentre altre capacità agentiche arriveranno nei prossimi rilasci.
Conferme obbligatorie per le azioni sensibili
Google punta anche sulla trasparenza delle interazioni agentiche. L'azienda vuole evitare che compiti complessi affidati all'AI si concludano in disastri quando qualcosa va storto. Il modello chiederà conferma all'utente prima di navigare verso siti che gestiscono informazioni delicate, come portali bancari o medici. Analogamente, l'agente richiederà autorizzazione prima di accedere a un sito utilizzando le credenziali salvate nel Google Password Manager.
Per azioni particolarmente delicate come acquisti online, invio di messaggi o altre operazioni non specificate ma potenzialmente impattanti, l'agente adotterà un approccio ancora più prudente: chiederà il permesso oppure lascerà semplicemente all'utente il compito di completare il passaggio finale. È un compromesso tra automazione e controllo umano che riflette la consapevolezza dei limiti attuali dell'intelligenza artificiale.
Ventimila dollari per chi trova falle
Consapevole che nessun sistema è perfetto, Google ha rivisto il proprio Vulnerability Rewards Program per incentivare i ricercatori di sicurezza a testare approfonditamente le protezioni degli agenti di Chrome. Parker ha annunciato che l'azienda è disposta a pagare fino a 20.000 dollari per segnalazioni che dimostrino violazioni concrete dei confini di sicurezza implementati. Un investimento che testimonia quanto seriamente il colosso californiano prenda le sfide poste dall'integrazione dell'AI nei browser, dopo aver investito miliardi in infrastrutture e servizi di intelligenza artificiale che non può permettersi di vedere rifiutati dagli utenti per motivi di sicurezza.