gpt red claude estensioni chrome

Claude per Chrome espone gli agenti AI, OpenAI risponde con GPT-Red

🛡️ Executive Summary

  • L’estensione Claude accetta click sintetici senza verificare event.isTrusted, consentendo a un’altra estensione di richiamare workflow collegati a servizi sensibili.
  • Un parametro URL può disattivare i controlli di autorizzazione e, con la modalità automatica, permettere azioni silenziose su Gmail o Salesforce.
  • GPT-Red utilizza self-play reinforcement learning per generare prompt injection, addestrare le difese e individuare nuove classi di attacco contro gli agenti.

La sicurezza degli agenti AI non dipende soltanto dal modello linguistico, ma dall’intera catena che collega browser, estensioni, interfacce web, account e strumenti aziendali. Una vulnerabilità nell’estensione ufficiale di Claude per Chrome dimostra come un’estensione malevola possa simulare interazioni considerate legittime e attivare workflow capaci di leggere Gmail, consultare Calendar o modificare dati in Salesforce. Parallelamente, OpenAI ha presentato GPT-Red, un sistema interno che automatizza il red teaming attraverso apprendimento per rinforzo e attacchi iterativi. I due casi mostrano i lati complementari dello stesso problema: agenti sempre più operativi ampliano la superficie d’attacco e richiedono test capaci di evolvere con le tecniche offensive.

Claude per Chrome accetta click sintetici come comandi legittimi

Annuncio

L’estensione di Claude per Chrome ascolta gli eventi di click prodotti su elementi specifici dell’interfaccia di claude.ai. Questi elementi vengono identificati mediante l’attributo data-task-id, utilizzato per associare il pulsante a un workflow predefinito: leggere messaggi Gmail, analizzare commenti in Google Docs, cercare disponibilità nel calendario oppure aggiornare lead all’interno di Salesforce. La vulnerabilità nasce perché il codice dell’estensione non controlla la proprietà event.isTrusted, impostata dal browser per distinguere gli eventi generati realmente dall’utente da quelli creati attraverso JavaScript. Un’estensione malevola dotata dei permessi necessari per eseguire un content script su Claude può quindi inserire nel DOM un elemento fittizio, assegnargli un identificatore valido e generare programmaticamente un click. L’estensione ufficiale riceve l’evento e lo interpreta come un’interazione autentica, avviando il workflow associato. Il problema non consiste quindi in una compromissione diretta del modello, ma nella fiducia accordata all’interfaccia browser e nell’assenza di una verifica sull’origine del comando. È lo stesso principio di sicurezza richiamato dagli attacchi di BioShocking AI contro i guardrail dei browser intelligenti, dove la manipolazione del contesto visivo o applicativo porta l’agente a eseguire azioni formalmente coerenti ma sostanzialmente ostili.

Il parametro privilegiato può eliminare i controlli di consenso

Una seconda debolezza riguarda il parametro URL skip_all_permission_checks=true, capace di inizializzare il pannello laterale dell’estensione in una modalità che ignora le normali verifiche di autorizzazione. Presa isolatamente, la presenza del parametro non implica necessariamente un attacco riuscito, perché l’agente può ancora chiedere conferma prima di compiere operazioni sensibili. Il rischio cresce però quando questa condizione viene combinata con i click sintetici e con la configurazione “Act without asking”, che permette a Claude di procedere senza richiedere approvazione per ogni passaggio. In questo scenario, un’estensione malevola potrebbe aprire o manipolare la pagina di Claude, attivare la modalità privilegiata e richiamare un task predefinito senza un’interazione visibile dell’utente. Le conseguenze dipendono dalle integrazioni già autorizzate: un agente collegato a Gmail può accedere ai messaggi consentiti, uno connesso a Salesforce può intervenire sui record e uno integrato con Calendar può leggere impegni o creare eventi. La catena sfrutta quindi autorizzazioni autentiche precedentemente concesse dall’utente, trasformando l’agente in un confused deputy, cioè un componente legittimo indotto a usare i propri privilegi per conto dell’attaccante.

Un’estensione malevola diventa un livello di prompt injection operativo

Il difetto evidenzia un rischio specifico delle architetture agentiche nel browser. Le estensioni tradizionali operano nello stesso ambiente, possono avere accesso al DOM e, in base ai permessi dichiarati, osservare o modificare le pagine visitate. Quando una di queste pagine controlla un agente dotato di strumenti esterni, la manipolazione dell’interfaccia non produce soltanto un cambiamento visivo: può generare un comando con effetti su applicazioni aziendali. Un semplice click sintetico diventa quindi equivalente a una prompt injection operativa, perché altera il flusso decisionale senza dover convincere linguisticamente il modello. La tecnica si affianca alle iniezioni indirette contenute in email, documenti e repository, come dimostrato dall’attacco via GitHub capace di manipolare un agente AI durante la clonazione del codice. La differenza è che, nel caso di Claude per Chrome, l’input malevolo non è necessariamente un testo interpretato dal modello: è un evento dell’interfaccia considerato attendibile dal componente che orchestra il workflow. Questo amplia il threat model, che deve comprendere script, DOM, URL, messaggi tra estensioni e stato delle autorizzazioni oltre ai prompt ricevuti dall’agente.

Le falle restano riproducibili nella versione 1.0.80

Le vulnerabilità sono state segnalate ad Anthropic attraverso il programma di bug bounty, ma risultano ancora riproducibili nella versione 1.0.80 dell’estensione. In attesa di una correzione, gli utenti dovrebbero evitare la modalità che autorizza azioni senza conferma, rivedere le integrazioni collegate a Claude e rimuovere estensioni browser non strettamente necessarie. Negli ambienti aziendali è opportuno distribuire una allowlist centralizzata, impedendo l’installazione autonoma di componenti e limitando i domini sui quali i content script possono essere eseguiti.

image 466
Catena di attacco completa. A sinistra: claude.ai connesso. Al centro: PoC incollato nella console DevTools, isTrusted: falsea conferma che il clic sintetizzato è stato rispettato. A destra: pannello laterale popolato con il prompt del modulo di sfida, piano di Claude visibile, finestra modale di approvazione in attesa del clic dell’utente.

Gli sviluppatori devono invece trattare ogni evento sintetico come non attendibile, verificare event.isTrusted, autenticare i messaggi tra pagina ed estensione e ignorare parametri privilegiati che possono essere impostati direttamente dall’URL. Le azioni sensibili dovrebbero richiedere una conferma separata, associata ai dettagli dell’operazione e non riutilizzabile da script presenti nella pagina. L’incidente segue altre vulnerabilità nell’ecosistema Anthropic, compresa la falla nel server Git MCP capace di compromettere strumenti collegati agli agenti, e conferma che la sicurezza del modello non compensa un’integrazione applicativa progettata con controlli insufficienti.

GPT-Red automatizza gli attacchi contro i modelli difensori

Sul fronte opposto, OpenAI ha sviluppato GPT-Red come red team automatico per scoprire vulnerabilità di prompt injection prima che vengano sfruttate in ambienti reali. Il sistema interagisce con un modello bersaglio, invia istruzioni avversarie, osserva le risposte e modifica progressivamente la strategia per raggiungere un obiettivo vietato. Un test può, per esempio, chiedere al modello di esfiltrare un segreto verso un server esterno, aggirare una policy oppure utilizzare uno strumento in modo non autorizzato. GPT-Red non dipende da un elenco statico di prompt preparati da ricercatori umani, ma esplora autonomamente varianti, concatenazioni e contesti capaci di superare le difese. Questo approccio permette di testare una superficie più ampia e di scoprire combinazioni che non emergerebbero da benchmark predefiniti. OpenAI aveva già esteso l’impiego dei propri modelli alla ricerca di vulnerabilità con Daybreak e GPT-5.5-Cyber, ma GPT-Red è orientato specificamente alla sicurezza comportamentale dei modelli e degli agenti.

Il self-play fa evolvere insieme attaccante e difensore

Il sistema utilizza self-play reinforcement learning, un processo nel quale il red team e il modello difensore migliorano attraverso il confronto reciproco. GPT-Red riceve una ricompensa quando induce il target a violare la policy o a eseguire l’obiettivo malevolo; il modello difensore viene invece premiato quando riconosce l’attacco, rifiuta l’istruzione e mantiene la funzione legittima richiesta dall’utente. Dopo ogni iterazione, le strategie di attacco riuscite vengono impiegate per addestrare la difesa, costringendo GPT-Red a produrre tecniche più sofisticate.

GPT Red attacker performance
Claude per Chrome espone gli agenti AI, OpenAI risponde con GPT-Red 5

Questo ciclo evita che il modello venga ottimizzato soltanto contro prompt già conosciuti e crea una pressione avversaria continua. Secondo i risultati comunicati da OpenAI, il metodo è stato utilizzato nell’addestramento di modelli come GPT-5.6 Sol, riducendo di sei volte i fallimenti provocati dalle prompt injection dirette rispetto alla generazione precedente. Il dato non dimostra l’eliminazione del problema, ma indica che il red teaming automatizzato può trasformare attacchi reali in esempi di addestramento con una velocità difficilmente raggiungibile da un gruppo esclusivamente umano.

Fake Chain-of-Thought simula il ragionamento interno del modello

GPT-Red ha individuato una classe di attacchi denominata Fake Chain-of-Thought, inizialmente capace di superare le difese in oltre il 95% dei tentativi. La tecnica presenta l’istruzione malevola come se fosse parte di un ragionamento già prodotto dal sistema o di una sequenza interna affidabile, cercando di indurre il modello a proseguire il processo senza rivalutare l’origine del contenuto. In termini pratici, l’attaccante confeziona un falso contesto che imita struttura e tono delle istruzioni privilegiate, confondendo la separazione tra dati esterni e ragionamento autorizzato. L’addestramento avversario avrebbe ridotto il tasso di successo sotto il 10%, mostrando il valore di un sistema capace di scoprire e riprodurre nuove famiglie di attacco. La tecnica appartiene allo stesso insieme di minacce che sfruttano la fiducia nei livelli intermedi dell’agente: risultati di tool, memorie, documenti recuperati e messaggi apparentemente generati dal sistema. Per questo le difese devono etichettare l’origine di ogni contenuto, preservare i confini tra istruzioni e dati e impedire che testo non attendibile venga interpretato come parte della policy.

OpenAI mantiene GPT-Red interno per limitarne l’uso offensivo

OpenAI non ha distribuito pubblicamente GPT-Red, sostenendo che le sue capacità potrebbero essere riutilizzate per automatizzare la ricerca di jailbreak e vulnerabilità contro servizi di terzi. La decisione pone un problema tipico della ricerca dual use: pubblicare il sistema permetterebbe a sviluppatori e ricercatori indipendenti di verificare le difese, ma offrirebbe anche agli attori malevoli un red team scalabile capace di adattare gli attacchi in tempo reale. Mantenere lo strumento interno riduce questo rischio, ma concentra nelle mani del produttore la capacità di valutare e comunicare i risultati. Per ottenere verifiche credibili serviranno quindi audit indipendenti, benchmark riproducibili e forme di accesso controllato per laboratori qualificati. Il self-play non sostituisce inoltre il red teaming umano: gli esperti restano necessari per definire obiettivi realistici, interpretare i fallimenti, analizzare le integrazioni e valutare gli impatti organizzativi che un modello isolato non può rappresentare.

La sicurezza degli agenti richiede controlli fuori dal modello

Claude per Chrome e GPT-Red mostrano che una difesa efficace deve operare su più livelli. Il modello può resistere alle prompt injection e restare comunque vulnerabile se l’estensione browser accetta eventi sintetici o se un parametro URL elimina il consenso. Allo stesso modo, un’interfaccia ben progettata non protegge da un documento malevolo capace di indurre l’agente a usare correttamente i propri strumenti per uno scopo ostile. Servono quindi least privilege, conferme contestuali, separazione tra lettura e scrittura, autenticazione dell’origine degli eventi e logging completo delle azioni. Gli agenti non dovrebbero ricevere autorizzazioni permanenti più ampie del necessario e ogni operazione irreversibile dovrebbe essere verificata da un componente indipendente dal contesto controllato dal modello. GPT-Red rappresenta un passo verso test continui e adattivi, mentre la falla di Claude ricorda che il red teaming deve includere browser, estensioni, DOM, API e servizi collegati. La superficie d’attacco non coincide più con la finestra della chat: comprende tutto ciò che l’agente può vedere, interpretare e modificare.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto