Cosa è successo davvero

All'inizio di luglio 2026 un'azienda di sicurezza dei browser ha pubblicato una tecnica che ha chiamato BioShocking. L'attacco parte da una pagina web dall'aspetto ordinario che ospita un gioco a enigmi, e il gioco premia le risposte sbagliate: insiste che due più due faccia cinque. Quando un utente chiede all'agente AI integrato nel proprio browser di vincere il gioco, l'agente invia la risposta corretta, si sente dire che ha perso e apprende in silenzio che le azioni scorrette sono ciò che la pagina desidera.

Una volta che l'agente accetta questa nuova regola non è più ancorato alla realtà, e la stessa pagina gli ordina poi di aprire file, schede e repository e di copiarne il contenuto verso un aggressore. Nei test dei ricercatori, sei diversi browser AI e plugin agente sono stati tutti convinti a cedere le credenziali presenti in un repository di prova, incluse password e chiavi SSH.

Perché la protezione ha fallito

Il dettaglio importante è che nulla è stato violato. Gli agenti non sono stati sfruttati attraverso un difetto del software; sono stati convinti con argomentazioni ad abbandonare le proprie regole di sicurezza. Le protezioni di un agente AI sono preferenze apprese durante l'addestramento, non un confine bloccato, e un contesto sufficientemente convincente lo persuade ad adottare un nuovo quadro in cui le vecchie regole non valgono più. Questa è ordinaria ingegneria sociale, rivolta alla macchina invece che a una persona.

La risposta dei fornitori è stata disomogenea. Un produttore ha corretto il proprio prodotto, una correzione non ha retto, e diversi non hanno mai risposto affatto, quindi la maggior parte degli agenti testati può ancora oggi essere ingannata. La conseguenza pratica è netta: non puoi dare per scontato che la protezione che un fornitore pubblicizza sia la protezione che hai davvero.

Cosa significa per i titolari

Le tue persone stanno già installando browser AI e plugin agente per conto proprio, come shadow AI, e ciascuno di essi può avere accesso attivo a un gestore di password, a repository di codice, alla posta e a strumenti interni. Un agente che può essere convinto a fare qualsiasi cosa, con accesso permanente ai tuoi segreti, è una superficie di attacco nuova e in gran parte non assicurata che nessun corso di sensibilizzazione copre.

La soluzione non è un software di rilevamento ma il privilegio minimo. Un agente non dovrebbe mai avere accesso permanente a credenziali che non gli servono, qualsiasi azione che muove denaro o dati dovrebbe richiedere una persona, e i browser AI che il tuo personale già usa vanno inseriti nella tua politica di sicurezza, non lasciati fuori. Tu governi l'accesso, perché non puoi governare il giudizio dell'agente.