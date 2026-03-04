L’integrazione di assistenti basati su intelligenza artificiale direttamente all’interno dei browser (ne parlavamo nell’articolo su “Chrome agentico“) sta modificando in profondità il modello di interazione tra utente, Web e sistema operativo. Una vulnerabilità recentemente individuata in Google Chrome dimostra tuttavia quanto questa evoluzione possa ampliare la superficie di attacco.

La falla, identificata come CVE-2026-0628 con punteggio CVSS 8,8, consentiva a estensioni malevole di ottenere privilegi elevati sfruttando il nuovo pannello laterale di Gemini, la funzionalità AI integrata nel browser dell’azienda di Mountain View.

Il problema è stato corretto da Google a gennaio 2026 nelle versioni Chrome 143.0.7499.192 e 143.0.7499.193 per Windows e macOS e nella versione 143.0.7499.192 per Linux.

Il caso riveste tuttavia particolare importanza perché coinvolge l’integrazione tra componenti tradizionali del browser e moduli AI con accesso privilegiato all’ambiente di navigazione. Chrome domina il mercato globale dei browser con miliardi di utenti attivi, mentre le estensioni rappresentano uno dei meccanismi più diffusi per personalizzare l’esperienza di navigazione.

L’introduzione di agenti intelligenti capaci di interagire con contenuti Web, eseguire operazioni automatizzate e accedere a funzionalità di sistema crea nuovi scenari di rischio se i confini di sicurezza tra componenti non sono gestiti con estrema precisione.

Come un errore nel WebView di Chrome ha aperto la strada all’exploit

La falla è stata individuata dal ricercatore Gal Weizman del team Unit 42 di Palo Alto Networks, che ha segnalato il problema a Google già a novembre 2025. L’analisi tecnica ha mostrato che la vulnerabilità derivava da un caso di insufficient policy enforcement relativo al componente WebView tag utilizzato dal browser.

In Chrome, WebView è impiegato per incorporare contenuti Web all’interno di componenti interni del browser. Nel caso specifico, il pannello laterale di Gemini utilizza l’URL interno chrome://glic per caricare l’applicazione Web di Gemini ospitata su gemini.google.com . Tale integrazione permette all’assistente AI di interagire con la pagina visitata, sintetizzare contenuti, generare risposte e assistere l’utente durante la navigazione.

L’errore di progettazione consisteva nel fatto che alcune regole di sicurezza relative alle estensioni non venivano applicate correttamente quando il contenuto era caricato attraverso WebView.

Di conseguenza, un’estensione appositamente costruita poteva iniettare codice HTML o JavaScript all’interno di una pagina privilegiata del browser, superando le normali restrizioni del modello di sicurezza di Chrome.

Un’estensione malevola poteva ottenere privilegi elevati

L’exploit scoperto da Palo Alto non richiedeva vulnerabilità complesse lato utente. Era sufficiente convincere la vittima a installare un’estensione apparentemente legittima, magari distribuita tramite social engineering o imitazione di strumenti utili.

Una volta installata, l’estensione poteva sfruttare l’API declarativeNetRequest , normalmente utilizzata da estensioni come ad blocker per modificare richieste e risposte HTTP.

Attraverso regole opportunamente costruite, l’estensione era in grado di intercettare e manipolare il caricamento del pannello Gemini. Poiché il browser collegava l’applicazione AI a funzionalità privilegiate, il codice iniettato poteva essere eseguito nel contesto della pagina gemini.google.com/app ospitata nel pannello laterale.

Il risultato era un classico caso di privilege escalation: un componente con privilegi limitati riusciva a controllare un modulo del browser con accesso molto più ampio. L’attacco è stato soprannominato dai ricercatori “Glic Jack”, abbreviazione di Gemini Live Chrome hijack.

Accesso a risorse “sensibili” del sistema

Una volta ottenuto il controllo del pannello AI, l’estensione malevola avrebbe potuto sfruttare le capacità operative dell’assistente per eseguire azioni normalmente vietate a una semplice estensione. I ricercatori hanno dimostrato scenari in cui l’attaccante avrebbe avuto accesso alla camera e al microfono del dispositivo, catturare screenshot delle pagine visitate o interagire con file locali presenti sul sistema.

Tutte operazioni che non richiedevano autorizzazioni aggiuntive perché il pannello Gemini era progettato per poter interagire con diversi elementi della sessione di navigazione. In pratica, l’estensione sfruttava le funzionalità legittime dell’assistente AI come veicolo per eseguire attività malevole.

Il rischio più significativo riguardava l’accesso ai dati sensibili generati durante la navigazione: credenziali, contenuti di pagine protette, informazioni personali e documenti locali.

In contesti aziendali, una vulnerabilità di questo tipo potrebbe essere sfruttata per ottenere accesso a dashboard interne, strumenti SaaS o documenti riservati aperti nel browser.

Il ruolo degli agenti AI nell’espansione della superficie di attacco

L’integrazione di assistenti intelligenti direttamente nel browser introduce una categoria di componenti che operano con privilegi elevati e capacità automatizzate. Gli agenti AI sono progettati per eseguire sequenze di azioni, leggere contenuti della pagina, generare interazioni con l’utente e, in alcuni casi, manipolare elementi dell’interfaccia.

Quando queste capacità sono esposte all’interno del contesto di navigazione, diventa possibile sfruttarle indirettamente tramite tecniche di manipolazione dei prompt o mediante codice eseguito da componenti con privilegi meno ampi.

In uno scenario ipotetico, una pagina Web malevola potrebbe contenere istruzioni nascoste progettate per influenzare il comportamento dell’assistente AI.

Se il browser non isola adeguatamente i diversi livelli di privilegio, tali istruzioni potrebbero indurre l’agente a eseguire operazioni altrimenti vietate, come recuperare dati da altre schede o interagire con file locali. Alcuni ricercatori evidenziano anche la possibilità che istruzioni malevole siano memorizzate nella memoria del sistema AI e riutilizzate nelle sessioni successive.

Il modello di sicurezza delle estensioni sotto pressione

Le estensioni Chrome operano tradizionalmente all’interno di un modello di sicurezza basato su permessi dichiarativi e isolamento dei contesti di esecuzione. Il file manifest definisce quali API possono essere utilizzate e quali domini possono essere accessibili. In teoria, un’estensione con permessi limitati non dovrebbe influenzare componenti interni del browser.

La vulnerabilità CVE-2026-0628 dimostra che il punto critico non è sempre il livello di permessi dichiarati, ma l’interazione tra i componenti del browser. Se un’estensione riesce a manipolare il contenuto di una pagina con privilegi elevati, i controlli del modello di sicurezza diventano inefficaci.

Il problema individuato nel caso di Chrome nasceva proprio da una differenza di trattamento tra pagine Web standard e componenti interni caricati tramite WebView. Le regole di filtraggio previste per le richieste di rete non consideravano correttamente questa tipologia di componente, creando una condizione di bypass.

Patch e mitigazioni

Google ha risolto la vulnerabilità aggiornando il meccanismo di applicazione delle regole di sicurezza relative alle estensioni quando vengono coinvolti componenti WebView interni. Le versioni di Chrome rilasciate a gennaio 2026 includono controlli aggiuntivi che impediscono alle estensioni di modificare o iniettare contenuti nel pannello Gemini.

Per ridurre il rischio residuo, gli utenti e gli amministratori di sistema dovrebbero adottare alcune misure operative: mantenere il browser aggiornato all’ultima versione disponibile, limitare l’installazione di estensioni non verificate e monitorare attentamente i permessi concessi a ciascun componente installato.

In contesti aziendali è inoltre consigliabile utilizzare criteri di gestione centralizzata delle estensioni tramite policy di Chrome Enterprise, consentendo l’installazione solo di componenti approvati.

Strumenti di monitoraggio delle attività del browser possono inoltre aiutare a individuare comportamenti anomali associati a estensioni sospette.

I rischi di sicurezza introdotti dall’integrazione dell’AI nei browser

La vulnerabilità Glic Jack evidenzia una dinamica destinata a diventare sempre più frequente con la diffusione di browser dotati di assistenti AI integrati. Funzionalità progettate per automatizzare attività e semplificare la navigazione richiedono inevitabilmente accesso privilegiato a diversi elementi del sistema.

Quando tali capacità si combinano con componenti programmabili come le estensioni, l’interazione tra livelli di sicurezza differenti può generare vulnerabilità difficili da individuare.

L’evoluzione dei browser verso piattaforme sempre più intelligenti e autonome rende quindi essenziale un controllo rigoroso dei confini tra codice non privilegiato, componenti interni e moduli AI.