Browser Agents: quali sono i loro rischi per la sicurezza?

Sintesi: I rischi di sicurezza degli agenti browser basati su IA sono strutturalmente diversi dai rischi tradizionali del software: gli agenti ereditano sessioni autenticate, operano simultaneamente su più applicazioni e generano azioni da istruzioni in linguaggio naturale che nessun livello di controllo esistente può interpretare. Governarli ora fa parte della costruzione della resilienza informatica, perché è necessaria visibilità sia sull'identità che sui dati prima della distribuzione, non dopo un incidente.

Gli agenti del browser sono passati dai programmi pilota ai flussi di lavoro di produzione più rapidamente di quanto la maggior parte dei team di sicurezza sia stata in grado di rispondere.

Ogni distribuzione crea una categoria distinta di esposizione che i controlli di sicurezza legacy non possono vedere, registrare o gestire, che si tratti di un'integrazione Copilot, un'estensione Claude o un flusso di lavoro ChatGPT in esecuzione in ambito finanziario.

Il livello di autenticazione considera gli agenti come utenti attendibili, il livello dati non ha visibilità su ciò a cui accedono, e il livello di controllo è stato costruito per applicazioni deterministiche, non per quelle autonome che operano con linguaggio naturale.

Questa guida spiega come valutare tale esposizione, classificare gli agenti per livello di rischio e applicare controlli che gestiscano il rischio senza interrompere il lavoro.

Cos'è un agente browser?

Un agente browser è un sistema di intelligenza artificiale che compie azioni autonome all'interno di un browser web per conto di un utente. Naviga nelle applicazioni web, compila moduli, clicca pulsanti, scarica file ed esegue flussi di lavoro multi-step attraverso sessioni autenticate senza richiedere istruzioni umane passo dopo passo.

L'agente riceve un'istruzione in linguaggio naturale, la interpreta utilizzando un modello di linguaggio di grandi dimensioni e genera la sequenza di azioni necessarie per completare il compito su tutte le applicazioni a cui il browser può accedere.

Come funzionano oggi gli agenti del browser

Tre implementazioni principali illustrano la portata pratica dell'esposizione.

1. Claude di Anthropic può navigare sul web, eseguire azioni tra le schede e interagire con i sistemi locali. La stessa documentazione di ricerca di Anthropic afferma esplicitamente: "L'uso del browser amplifica il rischio di iniezione di prompt in due modi. Primo, la superficie di attacco è vasta: ogni pagina web, documento incorporato, pubblicità e script caricato dinamicamente rappresentano un potenziale vettore per istruzioni dannose."

2. L'agente ChatGPT di OpenAI include quattro componenti: Operator (navigazione web autonoma), Deep Research (ricerca internet a più fasi), Code Interpreter (esecuzione Python) e integrazioni con Google Drive, GitHub e OneDrive. La documentazione ufficiale di OpenAI afferma chiaramente: "Questo introduce nuovi rischi, in particolare perché l'agente ChatGPT può lavorare direttamente con i tuoi dati."

3. Azioni di Microsoft Copilot vengono eseguite sull'infrastruttura di Power Platform, utilizzando flussi di Power Automate e connettori certificati. In pratica, le azioni automatizzate possono avvenire con le credenziali di un utente a seconda della configurazione e di come viene implementata l'approvazione per tipi specifici di azioni.

Perché i controlli di sicurezza esistenti non possono vedere l'attività dell'agente del browser

Le stack di sicurezza sono state costruite per applicazioni deterministiche che operano su dati strutturati. Gli agenti del browser operano su linguaggio naturale con output probabilistici, a un livello semantico che si trova sopra dove operano tutti i controlli esistenti.

Gli strumenti esistenti operano al di sotto del livello in cui gli agenti prendono decisioni

CASB, DLP, monitoraggio della rete ed EDR operano tutti a livello di output. Vedono il traffico, i modelli e l’attività del processo dopo che sono state prese le decisioni. La maggior parte degli strumenti esistenti ha una capacità limitata di osservare cosa sta ragionando un agente o quale istruzione sta eseguendo all’interno di una scheda del browser.

Un agente incaricato di riassumere i dati finanziari dei clienti e inviarli esternamente completa quel compito attraverso una sequenza di azioni che risulta del tutto normale per tutti e quattro questi strumenti.

Gli agenti del browser possono leggere contemporaneamente tutte le sessioni autenticate

I browser applicano una Same-Origin Policy (SOP) che impedisce a uno script su un dominio di leggere dati su un altro. Gli agenti del browser, eseguiti come processi a livello utente o estensioni, possono attraversare efficacemente più sessioni autenticate che la SOP isolerebbe normalmente a livello di script.

Funzionano come processi a livello utente con accesso a tutte le sessioni autenticate attive nel browser contemporaneamente, il che significa che un sistema HR, un'applicazione finanziaria e un CRM non sono più isolati l'uno dall'altro.

Un'istruzione dannosa incorporata in una pagina web, email o invito al calendario può indirizzare l'agente a estrarre e combinare i dati da tutti in una sequenza automatizzata.

Il traffico dell'agente arriva con credenziali valide, quindi i controlli di identità lo lasciano passare

Gli agenti del browser si autenticano tramite sessioni SSO esistenti e ereditano token validi dal provider di identità. Ogni richiesta che effettuano raggiunge i servizi organizzativi con credenziali legittime tramite canali autorizzati.

OAuth e SAML considerano un'entità autenticata affidabile per tutta la durata della sessione, un modello che fallisce quando l'entità è un agente autonomo il cui comportamento cambia a ogni richiesta.

5 tipi di rischi di sicurezza degli agenti del browser

I rischi di seguito non sono ipotetici. Ogni categoria ha incidenti reali documentati o prototipi di ricerca pubblicati che dimostrano uno sfruttamento attivo.

1. Iniezione di prompt da contenuti web ostili

OWASP LLM Top 10 classifica l'iniezione di prompt come la principale minaccia per le applicazioni LLM: istruzioni dannose nascoste nel contenuto che l'agente elabora possono dirottare completamente il suo comportamento.

Gli agenti browser aziendali sono particolarmente esposti perché spesso combinano tre condizioni che massimizzano il rischio: accesso a dati privati, esposizione a contenuti non affidabili e capacità di comunicare esternamente.

I ricercatori hanno dimostrato che inviti di calendario dannosi, documenti o contenuti web incorporati possono attivare azioni indesiderate dell'agente, inclusa l'esfiltrazione zero-click di dati locali o cloud.

La valutazione accademica di otto approcci di difesa contro l'iniezione di prompt ha rilevato che tutti possono essere aggirati, con ricerche pubblicate che riportano alti tassi di successo degli attacchi anche contro difese rafforzate.

2. Esfiltrazione di dati sensibili verso endpoint esterni di IA

In molte organizzazioni, i dipendenti utilizzano strumenti di intelligenza artificiale a livello gratuito o con account personali insieme a strumenti aziendali autorizzati, e parte di questo utilizzo include dati sensibili o regolamentati.

Con molto accesso a GenAI che passa attraverso i browser, i dati possono raggiungere endpoint AI esterni tramite canali che lo stack di sicurezza considera traffico web normale.

I controlli tradizionali di shadow AI si concentrano sulle liste di applicazioni autorizzate e sono strutturalmente ciechi a questo modello.

3. Azioni autonome che causano interruzione dell'attività e perdita di dati

Gli agenti del browser possono ereditare permessi distruttivi (ad esempio, azioni di eliminazione o modifiche irreversibili) ed eseguirli alla velocità della macchina quando un'attività è fraintesa, mal definita o influenzata da contenuti ostili.

Separatamente, i modelli di ereditarietà tra strumenti e tra sessioni in configurazioni multi-agente possono consentire azioni non autorizzate negli strumenti a valle senza una chiara visibilità per l'utente.

Questi incidenti condividono una causa principale: agli agenti vengono concessi permessi equivalenti a quelli dell’utente, senza limitare tali permessi a compiti specifici previsti.

4. Furto di credenziali, dirottamento della sessione e movimento laterale

Ricerca della Cornell University dimostra che l'iniezione di prompt si è evoluta in attacchi a cinque fasi che rispecchiano le campagne tradizionali di malware: accesso iniziale, escalation dei privilegi, persistenza nella memoria dell'agente, movimento laterale attraverso servizi connessi ed esecuzione.

Questi attacchi multi-hop sfruttano il fatto che gli agenti mantengono sessioni autenticate su più servizi contemporaneamente, fornendo a un attaccante che inietta con successo istruzioni una catena di credenziali che copre l'intera estensione dell'accesso dell'utente.

5. Deriva silenziosa della conformità dovuta all’adozione non governata dell’IA

I framework esistenti non sono stati progettati per sistemi autonomi. Ai sensi del requisito di controlli di audit di HIPAA (45 CFR §164.312(b)), gli agenti del browser che operano su più sistemi senza registrazione unificata creano violazioni immediate.

Ai sensi di GDPR Article 22, gli agenti che prendono decisioni autonome sull'accesso ai dati senza supervisione umana possono violare le protezioni contro le decisioni automatizzate. Più in generale, la shadow AI può aumentare l'impatto di violazioni e audit perché spesso bypassa i controlli standard di registrazione, conservazione e governance degli accessi.

Come valutare il rischio di sicurezza dell'agente del browser nel tuo ambiente

Prima di applicare i controlli, le organizzazioni necessitano di una baseline su tre dimensioni: dove sono distribuiti gli agenti, a quali dati possono accedere e com’è l’ereditarietà delle autorizzazioni.

Passo 1: Inventario dell'uso dell'IA del browser e delle estensioni

Configura strumenti DLP per identificare i modelli di traffico AI, estrarre i log del proxy per le connessioni ai principali servizi AI e rivedere i log di autorizzazione OAuth. Microsoft Defender Vulnerability Management fornisce un inventario nativo delle estensioni del browser su Edge, Chrome e Firefox senza costi aggiuntivi.

Secondo il Rapporto Annuale sulla Sicurezza del Browser 2025 di LayerX Security, una quota significativa delle estensioni del browser aziendale ha permessi elevati o critici, con le estensioni GenAI che richiedono ambiti di permessi più ampi rispetto alle estensioni standard.

Passo 2: Mappare l'esposizione dei dati e cosa può accedere l'agente

Per ogni agente scoperto, documenta a quali sessioni autenticate può accedere. La capacità di Netwrix 1Secure Platform di Data Security Posture Management (DSPM) individua e classifica continuamente i dati sensibili correlandoli con le identità che vi hanno accesso. Quando First National Bank Minnesota ha dovuto ricostruire il suo Active Directory per rafforzare la sicurezza, scoprire e classificare prima i dati sensibili dei clienti ha permesso loro di completare un progetto inizialmente stimato in sei mesi in sole tre settimane.

Non sei sicuro di cosa possano effettivamente raggiungere i tuoi agenti? Netwrix 1Secure mappa i dati sensibili e li correla con le identità che hanno accesso. Richiedi una demo prima che un agente rilevi la lacuna.

Passo 3: Analizza l'ereditarietà di identità e permessi

In molte aziende, la proliferazione dei privilegi tra utenti, account di servizio e app connesse tramite OAuth è già presente. Gli agenti del browser ereditano questa proliferazione e possono esercitarla alla velocità della macchina. Documenta il divario tra gli stati di autorizzazione richiesti e quelli effettivi prima che inizi qualsiasi distribuzione dell'agente.

Passo 4: Valutare la postura di sicurezza del fornitore e i controlli integrati

Esaminate l'architettura di sicurezza documentata di ogni fornitore di agenti: quali dati l'agente può accedere, dove vengono elaborati, come vengono memorizzati prompt e risposte e quali controlli aziendali sono disponibili.

Passo 5: Definire le politiche di utilizzo approvate, limitate e bloccate

La politica di utilizzo accettabile deve coprire esplicitamente quali strumenti di IA sono autorizzati, quali classificazioni dei dati sono consentite per ciascuno, le responsabilità degli utenti, le attività vietate e i meccanismi di applicazione. I requisiti della politica evolvono rapidamente man mano che vengono rilasciate nuove capacità degli agenti. Alcune organizzazioni hanno aggiornato le loro politiche di utilizzo accettabile dell’IA più volte in un solo trimestre, ogni revisione affrontando nuovi casi limite introdotti dagli aggiornamenti degli agenti

Come ridurre il rischio di sicurezza dell'agente del browser senza interrompere la produttività

Bloccare tutta l'IA del browser non è una postura realistica per la maggior parte delle organizzazioni. I controlli sottostanti sono ordinati per impatto relativo al costo di implementazione.

La classificazione del rischio e la correzione del principio del privilegio minimo sono prerequisiti. I controlli rimanenti si basano sull'igiene degli accessi che stabiliscono.

Classifica gli agenti per livello di rischio: approvato, ristretto o bloccato

Valuta ogni caso d'uso dell'agente del browser su quattro dimensioni: sensibilità dei dati, impatto operativo, esposizione normativa e autonomia decisionale. Aggiungi fattori specifici del browser: ambito di accesso alle credenziali, confini di sessione, integrazioni con servizi esterni e se le azioni dell'agente possono essere monitorate e annullate.

• Basso rischio (approva): Solo dati pubblici, nessuna credenziale aziendale, monitoraggio standard sufficiente.
• Rischio medio (restrizione): Dati aziendali non sensibili, controlli di accesso basati sul ruolo access controls richiesti, postura di sola lettura preferita, monitoraggio avanzato e copertura DLP, ricertificazione trimestrale.
• Alto rischio (bloccare o governare con controlli compensativi): Dati regolamentati, credenziali di autenticazione, sistemi di produzione o capacità decisionale autonoma. È richiesta una valutazione completa della sicurezza, monitoraggio continuo e revisione della governance dedicata prima di qualsiasi distribuzione.

Applica il principio del minimo privilegio prima che gli agenti amplifichino l'esposizione esistente

Se gli utenti dispongono di permessi eccessivi oggi, un agente del browser eredita tutti questi permessi e li esercita alla velocità della macchina. Correggere l'accesso sovradimensionato prima dell'adozione dell'agente è l'azione preparatoria con il massimo ritorno disponibile.

Netwrix Privilege Secure applica l'accesso just-in-time senza privilegi permanenti, il che significa che gli agenti che operano con account gestiti non detengono accesso elevato persistente in attesa di essere sfruttato. Ogni operazione privilegiata è collegata a un'identità specifica nella traccia di controllo, fornendo la visibilità forense richiesta dai framework di conformità.

Ad esempio, quando i penetration tester sfruttavano ripetutamente account amministrativi sovradimensionati, Eastern Carver County Schools ha implementato un modello di accesso just-in-time che ha eliminato i privilegi permanenti. Per un distretto scolastico con risorse IT limitate, la capacità di implementare questo livello di controllo in giorni anziché mesi è stata fondamentale per proteggere i dati di 9.300 studenti.

Usa profili browser gestiti e whitelist di estensioni

Microsoft Edge for Business crea contesti di sicurezza separati per la navigazione lavorativa e personale, con tre livelli di sicurezza mappati ai profili di rischio degli utenti. Chrome Enterprise fornisce rilevamento dei conflitti di policy che blocca automaticamente l'accesso alle applicazioni aziendali quando le policy critiche mostrano non conformità sui dispositivi BYOD.

Le liste di autorizzazione delle estensioni che utilizzano una postura di negazione predefinita sono il controllo più efficace disponibile al costo marginale più basso. In Microsoft Edge, le politiche di ExtensionSettings possono bloccare tutte le estensioni per impostazione predefinita, con eccezioni esplicitamente approvate per ogni strumento che supera il processo di valutazione del rischio.

Applica la classificazione dei dati e il DLP consapevole dell'IA per contenere l'esposizione di dati sensibili

Il DLP tradizionale non riesce a tenere il passo con i modelli di interazione di GenAI. Data classification che indica ai controlli quali dati sono importanti è il prerequisito.

Configura protezioni differenziate per livello di sensibilità: i dati riservati non possono essere incollati in nessuno strumento AI esterno indipendentemente dal ruolo dell’utente, mentre i dati pubblici fluiscono senza restrizioni.

La piattaforma 1Secure integra la scoperta e la classificazione dei dati sensibili con Identity Threat Detection e la funzionalità DLP di Netwrix Endpoint Protector, mantenendo continuamente le etichette di sensibilità negli ambienti ibridi affinché le protezioni si applichino mentre i dati si spostano attraverso i flussi di lavoro degli agenti.

Microsoft Edge Protected Clipboard aggiunge un livello di protezione basato su policy a livello di appunti per prevenire l’esfiltrazione tramite copia-incolla da applicazioni sensibili.

Rileva anomalie guidate dall'IA nell'attività del browser e dell'identità

Gli agenti del browser mostrano schemi diversi dagli utenti umani: chiamate API rapide, accesso massivo ai dati, attività fuori orario, aggregazione di dati tra applicazioni in brevi finestre temporali.

Defender for Cloud Apps identifica le minacce analizzando i modelli di attività del browser durante gli eventi di accesso. Il rilevamento di anomalie basato sull'identità è il meccanismo tecnicamente più valido disponibile oggi perché gli agenti condividono gli stessi protocolli, credenziali e canali degli utenti legittimi.

I comportamenti che distinguono l'attività dell'agente (velocità, ampiezza e tempistica) sono i segnali che identity threat detection emergono rispetto a una baseline di identità governata.

Come Netwrix ti aiuta a gestire il rischio di sicurezza dell'agente del browser

Gli agenti del browser si trovano all'intersezione tra identità e dati. Si autenticano utilizzando identità organizzative, accedono ai dati organizzativi e operano attraverso canali che ogni controllo esistente considera legittimi. Proteggere una dimensione senza l'altra lascia una falla che gli agenti sfrutteranno a velocità macchina.

Per le organizzazioni di mercato medio che gestiscono ambienti ibridi fortemente basati su Microsoft, la domanda fondamentale non è quale agente bloccare. È se hai una visibilità accurata su cosa possono raggiungere le tue identità e se quell'accesso è ancora appropriato. Senza quella base, governare gli agenti del browser è un gioco d'azzardo.

Netwrix 1Secure affronta direttamente quella baseline: DSPM individua e classifica continuamente i dati sensibili correlandoli con le identità che vi possono accedere. Tuttavia, la sola visibilità non riduce la superficie di attacco ereditata dagli agenti.

Netwrix Privilege Secure elimina l’accesso permanente tramite privilegi permanenti zero e elevazione just-in-time. Gli agenti che operano con account gestiti non mantengono permessi elevati persistenti tra le sessioni.

Identity Threat Detection & Response individua le anomalie comportamentali che distinguono l’attività guidata da agenti dai normali modelli utente, fornendo il livello di rilevamento che nessun browser o controllo di rete esistente può offrire.

Richiedi una demo per vedere come Netwrix mappa l'esposizione dell'identità e l'accesso ai dati sensibili nel tuo ambiente prima che gli agenti lo amplifichino.