Gli episodi recenti che hanno coinvolto strumenti come Microsoft Copilot, dove l’agente AI ha eseguito comandi nascosti all’interno di file aziendali, mostrano come i modelli linguistici possano diventare vettori operativi di rischio.

Atlas di Open AI estende questo rischio a livello di browser.

Cos’è Atlas e cosa fa

Atlas è, infatti, il nuovo browser sviluppato da OpenAI e costruito nativamente intorno a ChatGPT, come componente integrata del motore di navigazione e non come estensione. Non è cioè un plug-in di terze parti.

Il sistema combina tre livelli di funzionamento:

1. un motore di rendering tradizionale per visualizzare le pagine web;
2. un modulo linguistico, che interpreta il contenuto e lo sintetizza in tempo reale;
3. una memoria persistente, che conserva “fatti e intuizioni” (facts and insights secondo la privacy policy ufficiale di OpenAI) per rendere le risposte sempre più mirate e personalizzate nel tempo.

A differenza di altri browser “potenziati” con l’intelligenza artificiale (come Chrome con Gemini, Microsoft con Copilot, Perplexity AI con Comet), Atlas non si limita a fornire assistenza testuale, integra invece una modalità operativa (“Agent Mode”) che consente al modello di eseguire azioni dirette: aprire schede, compilare moduli, estrarre dati da pagine e interagire autonomamente con interfacce web.

Si tratta, in sostanza, di un agente cognitivo residente, capace di ricordare e di agire all’interno del browser senza intervento costante dell’utente.

Perché Atlas è diverso e amplifica i rischi

Questa architettura (memoria, linguaggio e azione) rappresenta una discontinuità rispetto ai sistemi concorrenti, dal momento che gli altri browser potenziati, come ad esempio Gemini e Copilot, limitano la loro attività alla singola sessione e non archiviano informazioni persistenti. Atlas invece è progettato per ricollegare nel tempo le esperienze di navigazione, costruendo una rappresentazione cumulativa e persistente dell’utente.

Proprio questa capacità di ricordare e agire in autonomia ne amplifica anche la superficie di rischio. Come evidenziato da autorevoli analisi di sicurezza, ogni input linguistico o testuale elaborato da un sistema autonomo può essere interpretato come istruzione eseguibile, non solo come contenuto informativo.

Ne deriva una nuova forma di esposizione (definita superficie semantica d’attacco) in cui anche una frase, un link o un frammento di codice all’interno di una pagina web (iniezione semantica) possono trasformarsi in vettori di comando per il modello.

Dal browser personale all’agente operativo aziendale

Nel contesto personale, Atlas migliora la fruizione delle informazioni per l’utente memorizzando interessi, riprendendo ricerche, offrendo sintesi mirate.

Nel contesto aziendale, lo stesso meccanismo che rende Atlas utile per i singoli utenti, cioè la capacità di ricordare, sintetizzare e agire, diventa uno strumento potente di automazione cognitiva. Un browser che ricorda i contenuti e li collega semanticamente può accumulare riferimenti a sistemi interni, documenti riservati o credenziali di accesso.

Inoltre, la funzionalità Agent Mode consente all’AI di interagire con piattaforme come CRM, intranet o dashboard cloud, agendo con le stesse credenziali e privilegi dell’utente umano.

Un’azienda può, infatti, usare Atlas per attività di supporto interno: riassumere report, compilare form amministrativi, confrontare fornitori o raccogliere informazioni dai portali regolatori. In ambito compliance o marketing, l’agente è in grado di generare sintesi di articoli normativi, estrarre trend di settore e mantenere traccia delle consultazioni passate.

Nel settore HR o customer service, la memoria di Atlas può agevolare la risposta ai dipendenti o ai clienti, richiamando conversazioni e documenti già analizzati.

Atlas e le nuove superfici di rischio in azienda

Le funzioni di Atlas, oltre ad efficientare le attività in azienda, comportano nuove superfici di rischio.

In un ambiente aziendale, la “memoria” del browser non distingue infatti tra contenuti interni e pubblici: un agente che apprende dalle dashboard aziendali, dai sistemi di ticketing o dai portali riservati può inconsapevolmente integrare tali informazioni nei propri “facts and insights”.

Un prompt o un’iniezione semantica può convincere l’agente a rivelare dati riservati, compilare form di pagamento o accedere a sistemi interni, operando con le stesse credenziali dell’utente.

Come osserva il NIST AI Risk Management Framework, l’introduzione di agenti autonomi nelle infrastrutture IT crea un rischio definito autonomous misfire: azioni formalmente corrette ma inappropriate rispetto al contesto. L’agente AI diventa potenziale “insider digitale”: nel caso di Atlas, ciò può significare che l’agente AI esegue operazioni legittime, come compilare un modulo o caricare dati in un gestionale, ma fuori dalle intenzioni reali del dipendente o del reparto IT.

In ambito Enterprise, Atlas è un nuovo nodo del perimetro aziendale e non un semplice browser, poiché:

1. genera inferenze sui comportamenti digitali dei dipendenti;
2. mantiene tracce semantiche di siti e applicazioni interne;
3. può agire in autonomia in nome dell’utente.

Tutto ciò comporta una ridefinizione delle responsabilità e delle misure di sicurezza: le aziende che adottano strumenti di questo tipo dovranno prevedere policy di controllo, audit dei prompt e gestione delle memorie AI, in linea con il principio di accountability previsto dal GDPR, art. 5 e dagli obblighi di trasparenza dell’AI Act europeo.

L’AI come nuovo insider digitale

Nella terminologia della sicurezza informatica, un insider threat è un rischio interno, cioè un soggetto autorizzato che può compromettere il sistema. Con Atlas, il concetto si estende all’AI.

Il browser può infatti eseguire comandi legittimi, accedere a credenziali e interagire con ambienti cloud o intranet aziendali.

Un prompt o un’iniezione semantica all’interno di una pagina possono indurre l’agente a:

• inviare dati aziendali a domini esterni,
• modificare documenti condivisi,
• estrarre informazioni riservate dalla memoria locale.

In un contesto aziendale, questo tipo di vulnerabilità non richiede violazioni di rete: l’AI agisce dall’interno, utilizzando credenziali e autorizzazioni legittime.

Dal phishing al prompt hijacking

Le minacce non riguardano più exploit di codice, ma manipolazioni linguistiche.

Il Microsoft Security Response Center (MSRC) ha documentato che gli Indirect Prompt Injection Attacks sono istruzioni incorporate in testi o file che, se lette da un agente AI, vengono interpretate come comandi.

Si tratta, più nello specifico, di istruzioni malevole inserite in contenuti che un modello LLM interpreta come comandi operativi, con il potenziale di esfiltrare dati o compiere azioni non autorizzate. L’equivalente del phishing, ma rivolto a sistemi che “capiscono” il linguaggio naturale.

Un attacco di questo tipo può essere semplice: un link o un PDF contenente un messaggio nascosto che ordina al modello di “recuperare le credenziali salvate” o “inviare i dati di configurazione”.

Poiché l’AI non distingue il contesto semantico, l’azione appare del tutto legittima.

La Prompt Injection è collocata a tutti gli effetti tra i rischi prioritari per i sistemi AI collegati a strumenti esterni: nel caso di Atlas un singolo input manipolato può comportare perdita di dati, compromissione della supply chain informativa o accesso non intenzionale a risorse aziendali.

Il caso Copilot: quando l’AI esegue istruzioni nascoste

Alcuni studi indipendenti hanno recentemente documentato una vulnerabilità sofisticata in Microsoft 365 Copilot, che consentiva di esfiltrare dati sensibili aziendali (incluse e-mail recenti) attraverso una catena di indirect prompt injection.

L’attacco sfruttava la profonda integrazione dell’assistente AI con i documenti Office e, in particolare, con il componente Mermaid, un interprete basato su JavaScript per generare diagrammi e grafici da testo Markdown.

Il vettore iniziale era un file Excel appositamente predisposto.

Quando l’utente chiedeva a Copilot di riassumerlo, l’AI leggeva anche una serie di istruzioni nascoste in caratteri bianchi distribuite su più fogli.

Queste direttive alteravano progressivamente il comportamento del modello, inducendolo a utilizzare la funzione interna search_enterprise_emails per recuperare i messaggi di posta aziendali più recenti.

I contenuti venivano poi codificati in hex e incorporati all’interno di un diagramma Mermaid che Copilot generava come parte del risultato. Il diagramma simulava un “pulsante di accesso” completo di icona di lucchetto e link, visivamente coerente con l’interfaccia Microsoft.

Con un clic, l’utente (convinto di dover sbloccare la visione del contenuto) attivava un collegamento verso un server controllato dall’attaccante, dove i dati codificati venivano raccolti e decodificati.

L’intero processo richiedeva un’interazione minima: un click apparentemente innocuo.

Quanto accaduto con Copilot è quindi emblematico: mostra come un assistente aziendale, pensato per semplificare i flussi di lavoro, possa essere indotto ad agire come vettore interno di esfiltrazione se non protetto da filtri semantici e controlli contestuali.

Cosa accadrebbe in Atlas

Se un incidente simile avvenisse in Atlas, l’impatto sarebbe potenzialmente molto più ampio e profondo, per tre motivi tecnici:

• Superficie d’attacco estesa. Atlas non è confinato a una suite applicativa come Microsoft 365: è un browser generale; pertanto, un’iniezione semantica può provenire da qualsiasi pagina web, link o file aperto dall’utente, moltiplicando i punti di esposizione.

• Memoria persistente Diversamente da Copilot, che elabora i contenuti di sessione e poi li scarta, Atlas conserva “facts and insights” sulle attività precedenti. Una volta compromessa, la memoria può diventare un archivio di informazioni sensibili (dati aziendali, ricerche interne, preferenze) accessibili tramite richiami successivi del modello.
• Autonomia operativa diretta. In Agent Mode, Atlas può compilare moduli, inviare richieste o interagire con portali aziendali. Un prompt malevolo non si limiterebbe a generare testo e potrebbe eseguire azioni reali sul web con le stesse credenziali dell’utente, simulando comportamenti legittimi e difficili da rilevare.

Per questo motivo, una vulnerabilità da prompt injection in Atlas sarebbe un rischio sistemico di comportamento autonomo; il modello diventerebbe, di fatto, un attore interno alla rete aziendale, dotato di memoria e capacità operative.

In termini di cyber security, ciò equivarrebbe a un insider threat automatizzato con visibilità trasversale sull’intero ecosistema informativo dell’organizzazione.

I rischi concreti per le imprese

L’adozione di Atlas in contesti aziendali introduce nuove aree di esposizione.

Tra le principali:

• Data leakage indiretto: se il browser AI sintetizza documenti interni o file aziendali, le inferenze generate possono includere informazioni riservate non destinate a terzi.
• Compromissione della memoria: un prompt malevolo potrebbe alterare le “Browser Memories”, facendo emergere dati archiviati in sessioni precedenti.
• Accesso ai sistemi cloud: se l’agente dispone di token o credenziali salvate nel browser, può essere indotto a eseguire operazioni su account aziendali.
• Rischio reputazionale: l’AI può generare risposte o interazioni automatizzate in nome dell’azienda, senza verifica umana, amplificando la responsabilità del titolare del trattamento.
• Compliance incompleta: la distinzione tra dati “espliciti” e “inferiti” non è chiaramente definita dalle policy di Atlas, creando incertezza rispetto agli obblighi previsti dagli articoli 5 e 35 del GDPR.

Inoltre, un agente AI che opera in una rete aziendale può interagire con sistemi di ticketing, CRM o piattaforme collaborative, generando richieste non tracciate ma formalmente corrette.

Ciò rende difficile distinguere un’azione lecitada una compromessa.

Security-by-Context e mitigazioni operative

Difendere un browser AI significa controllare non solo cosa esegue, ma come interpreta le informazioni.

Il principio di security-by-context, introdotto dal NIST AI Risk Management Framework, definisce tre livelli di mitigazione:

1. Validazione semantica dei prompt: riconoscere e bloccare comandi camuffati in contenuti testuali.
2. Isolamento logico delle memorie: separare i contesti di navigazione per dominio o categoria di dati.
3. Audit indipendente: registrare e analizzare i prompt eseguiti per consentire controlli ex post.

Per le aziende, ciò implica la necessità di definire politiche interne specifiche cioè:

1. limitare l’uso di browser AI su sistemi con dati sensibili;
2. adottare meccanismi di policy enforcement sui prompt;
3. monitorare i log dell’agente come qualunque attività privilegiata.

Governance e responsabilità

Il documento ufficiale di OpenAI su Atlas e la privacy policy indicano che l’utente può gestire e cancellare le memorie del browser.

Tuttavia, la policy non specifica in modo chiaro se la cancellazione riguardi anche le inferenze derivate dai contenuti memorizzati.

Questa distinzione è rilevante, poiché le “memorie” di Atlas non si limitano a conservare dati grezzi, ma includono sintesi e “insights” generati autonomamente dal modello.

La policy, pur apparendo completa e articolata, nasconde una complessità tecnica che la rende difficilmente accessibile a un utente non esperto.

Il controllo della privacy è demandato all’utente stesso, che deve configurare manualmente le impostazioni di memorizzazione e di esclusione dei dati.

In un contesto personale questo può tradursi in una minore consapevolezza del rischio; in ambito aziendale può creare disallineamenti tra le politiche interne di data governance e le modalità effettive di trattamento del fornitore.

Dal punto di vista regolatorio, l’AI Act europeo impone la valutazione dei rischi anche per i sistemi di “uso generale”, includendo quindi i browser e le piattaforme integrate.

Le organizzazioni che scelgono di adottare Atlas o strumenti equivalenti dovrebbero pertanto implementare:

• audit periodici di terze parti,
• gestione documentata delle vulnerabilità AI,
• e aggiornamenti costanti dei registri di trattamento, in conformità al principio di accountability del GDPR.

Come sottolineato dall’European Data Protection Supervisor (EDPS), la responsabilità non può essere delegata al fornitore: l’ente che integra un modello di intelligenza artificiale resta titolare delle decisioni e del trattamento dei dati.

La supervisione umana, la tracciabilità delle operazioni e la trasparenza sull’uso dei dati sono quindi requisiti essenziali per garantire la conformità e la fiducia nel ciclo di vita di sistemi autonomi come Atlas.

L’AI componente del perimetro aziendale

Atlas segna il punto di passaggio in cui l’intelligenza artificiale smette di essere un semplice strumento di supporto per diventare un attore operativo integrato nei processi aziendali.

Ogni volta che un agente AI accede a un portale interno, redige un documento, aggiorna una dashboard o interagisce con un CRM, entra a pieno titolo nel perimetro informativo dell’organizzazione, condividendo privilegi, dati e responsabilità con l’utente umano.

Questa integrazione modifica l’architettura della sicurezza aziendale.

L’AI opera all’interno del sistema con capacità decisionali e autonomia parziale e le aziende che decidono di introdurre Atlas nel loro ecosistema devono adottare strumenti specifici di valutazione del rischio legati al comportamento dei modelli linguistici e alla loro interazione con le infrastrutture operative.

Alcuni principali interventi da attuare:

• Classificazione delle interazioni AI. Mappare dove e come gli agenti vengono utilizzati (bozze, analisi dati, automazioni operative, contatto con clienti) per distinguere attività a rischio basso, medio o elevato.
• Definizione di perimetri di fiducia. Stabilire quali piattaforme e repository possono essere raggiunte dai modelli AI, delimitando l’accesso a informazioni riservate o critiche.
• Revisione delle policy di accesso e auditing. Estendere i controlli di logging e di tracciamento anche alle azioni compiute dagli agenti, che devono essere verificabili e reversibili come quelle di un account umano privilegiato.

Diventa fondamentale il controllo operativo dell’intenzione, ossia la capacità di verificare che ciò che l’AI interpreta e decide di eseguire corrisponda all’obiettivo legittimo previsto.

In pratica, la protezione dei dati aziendali deve estendersi al livello semantico, monitorando cosa l’AI fa e, soprattutto, perché lo fa.

Un agente come Atlas è utile se governato, rischioso se lasciato senza limiti.

La sua integrazione sicura passa attraverso tre principi chiave, quali coerenza, verificabilità e reversibilità.

L’agente AI entra in organico

In ambito aziendale, l’ingresso di sistemi cognitivi come Atlas impone una revisione delle pratiche di sicurezza e governance. Occorre gestire l’autonomia dell’AI con criteri misurabili e verificabili.

Un agente digitale che agisce in nome dell’utente può aumentare l’efficienza aziendale, ma se non correttamente monitorato introduce lo stesso tipo di rischio di un collaboratore con eccessivi privilegi d’accesso.

In questo scenario, la cyber security dovrà estendersi al piano semantico e operativo dell’intelligenza artificiale, dovrà cioè controllare come chi accede interpreta ciò che vede.