Security

Estensioni browser AI dannose rubano chat LLM

3 min di lettura

Riepilogo

Microsoft Defender ha scoperto estensioni Chromium dannose che si spacciano per assistenti AI legittimi e sottraggono in modo continuo chat con LLM, URL visitati e altri dati sensibili, inviandoli poi verso server remoti tramite normali richieste HTTPS. La notizia è rilevante perché queste estensioni possono arrivare da marketplace considerati affidabili e trasformare strumenti di produttività molto diffusi in un canale silenzioso di fuga di dati aziendali, con un impatto potenziale su centinaia di migliaia di utenti.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione: perché è importante

Le estensioni del browser per assistenti AI stanno diventando comuni componenti aggiuntivi di “produttività” per i knowledge worker, soprattutto per accedere rapidamente a strumenti come ChatGPT e DeepSeek. L’indagine di Microsoft Defender mostra come questa comodità possa trasformarsi in un canale di perdita di dati aziendali: un’estensione “sosia” installata da un marketplace affidabile può raccogliere ed esfiltrare in modo continuo prompt sensibili, risposte e URL interni senza comportarsi come il malware tradizionale.

Novità / risultati principali

Microsoft Defender ha analizzato estensioni Chromium dannose che:

  • Impersonano estensioni legittime di assistenti AI usando branding familiare e richieste di autorizzazione (Defender segnala l’imitazione di strumenti noti come AITOPIA).
  • Raccolgono contenuti delle chat LLM e telemetria di navigazione, inclusi:
    • URL completi visitati (inclusi siti interni)
    • Estratti di chat (prompt e risposte) da piattaforme come ChatGPT e DeepSeek
    • Identificativi del modello, contesto di navigazione e un UUID persistente
  • Persistono come normali estensioni (riavvio automatico all’avvio del browser, archiviazione della telemetria nello storage locale dell’estensione).
  • Esfiltrano i dati periodicamente tramite HTTPS POST, che può assomigliare a traffico web di routine.

Le analisi di Defender indicano che le estensioni hanno raggiunto ~900.000 installazioni, con telemetria Defender che conferma attività in oltre 20.000 tenant enterprise.

Come funziona l’attacco (panoramica)

  • Distribuzione: pubblicate nel Chrome Web Store con descrizioni a tema AI. Poiché Microsoft Edge supporta le estensioni del Chrome Web Store, la stessa inserzione abilita una portata multi-browser.
  • Sfruttamento di fiducia e autorizzazioni: autorizzazioni estese delle estensioni Chromium hanno consentito l’osservazione del contenuto delle pagine e dell’attività di navigazione. È stato usato un meccanismo di consenso fuorviante e gli aggiornamenti potevano riabilitare la telemetria per impostazione predefinita anche dopo l’opt-out degli utenti.
  • Command and control: upload periodici verso domini controllati dagli attaccanti come deepaichats[.]com e chatsaigpt[.]com, con cancellazione dei buffer locali dopo la trasmissione per ridurre gli artefatti.

Impatto su amministratori IT e utenti finali

  • Rischio di fuga di dati: i prompt spesso includono codice proprietario, processi interni, discussioni strategiche, credenziali copiate nelle chat e altri contenuti riservati. L’esfiltrazione di URL completi può rivelare la struttura delle applicazioni interne e stringhe di query sensibili.
  • Esposizione a compliance e privacy: la cronologia chat acquisita può contenere dati regolamentati o personali, complicando gli obblighi di conservazione, eDiscovery e residenza dei dati.
  • Il rischio legato alle estensioni diventa “sempre attivo”: a differenza di un evento di phishing una tantum, un’estensione dannosa può creare visibilità continua sull’attività dell’utente tra una sessione e l’altra.

Azioni consigliate / prossimi passi

  1. Individuare e bloccare endpoint di esfiltrazione noti monitorando il traffico HTTPS POST in uscita e applicando controlli di rete per:
    • *.chatsaigpt.com
    • *.deepaichats.com
    • *.chataigpt.pro
    • *.chatgptsidebar.pro
  2. Inventariare e verificare le estensioni del browser sugli endpoint gestiti, concentrandosi su strumenti AI/sidebar con autorizzazioni estese sui siti.
  3. Rafforzare la governance delle estensioni:
    • Usare l’allowlist per le estensioni approvate
    • Limitare, dove possibile, le origini di installazione
    • Verificare i comportamenti di aggiornamento e la deriva delle autorizzazioni
  4. Usare Microsoft Defender Vulnerability Management per eseguire Browser extensions assessment, identificare estensioni rischiose e dare priorità alla remediation.
  5. Formare gli utenti: trattare le chat AI come comunicazioni sensibili—evitare di incollare segreti, token o contenuti proprietari, a meno che lo strumento e il percorso di accesso non siano esplicitamente approvati.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Microsoft Defenderbrowser extensionsdata exfiltrationAI securityChromium

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.