Estensioni Chrome AI malevole: oltre 260.000 utenti trasformati in fonti di intelligence per il cybercrime

Le estensioni Chrome AI malevole stanno emergendo come uno dei vettori di compromissione più insidiosi nell’ecosistema enterprise, accanto al phishing tradizionale e alle tecniche di social engineering come ClickFix. La settimana tra l’11 e il 16 febbraio 2026 ha reso questa realtà difficile da contestare: in soli cinque giorni, tre campagne distinte e indipendenti hanno dimostrato che il browser non è più un semplice strumento di navigazione, ma un ambiente di esecuzione ad alto privilegio che gli attaccanti stanno imparando a sfruttare con precisione industriale.

Il 12 febbraio, i ricercatori di LayerX hanno rivelato la campagna AiFrame: almeno 30 estensioni Chrome mascherate da assistenti AI – con nomi come “Gemini AI Sidebar”, “AI Assistant”, “ChatGPT Translate” – che hanno compromesso oltre 260.000 utenti (con alcune testate che riportano cifre fino a 300.000), sottraendo credenziali, contenuto delle email e cronologia di navigazione. L’11 febbraio, Koi Security aveva documentato il primo add-in Outlook malevolo mai rilevato in natura – AgreeTo, un tool di scheduling abbandonato dal suo sviluppatore e rilevato da un attaccante che ne ha preso il controllo per rubare oltre 4.000 credenziali Microsoft. E nella stessa settimana, Koi Security ha smascherato anche VK Styles, una rete di cinque estensioni che aveva silenziosamente dirottato oltre 500.000 account VKontakte.

Tre campagne. Due ecosistemi diversi – Chrome e Outlook. Un unico pattern strutturale: la fiducia implicita che utenti e organizzazioni ripongono nei marketplace ufficiali è diventata l’arma principale degli attaccanti.

Questo articolo non è un bollettino di sicurezza. È l’analisi di come il modello di distribuzione delle estensioni browser sia diventato strutturalmente vulnerabile e di cosa questo significhi per chi difende reti aziendali nel 2026.

Il browser come superficie d’attacco privilegiata: perché le estensioni Chrome AI malevole funzionano

Per comprendere la gravità di quanto accaduto, occorre partire da un dato architetturale che la maggior parte dei professionisti della sicurezza conosce in teoria ma sottovaluta in pratica: le estensioni browser operano con privilegi che pochi altri componenti software possono vantare.

Un’estensione Chrome con i permessi giusti può leggere e modificare il contenuto di qualsiasi pagina web visitata dall’utente, accedere ai cookie di sessione, intercettare le richieste di rete, catturare il contenuto degli appunti e persino registrare audio attraverso l’API Web Speech. Il tutto in background, senza che l’utente noti nulla di anomalo. E la portata del fenomeno è tutt’altro che marginale: secondo il LayerX Enterprise Browser Extension Security Report 2025, il 99% dei dipendenti enterprise ha almeno un’estensione browser installata, il che rende questa superficie d’attacco virtualmente universale negli ambienti aziendali.

Nel framework MITRE ATT&CK, le tecniche sfruttate dalle campagne di febbraio 2026 si mappano con precisione: T1176 – Browser Extensions per l’installazione del componente malevolo, T1539 – Steal Web Session Cookie per l’esfiltrazione dei cookie di sessione, T1185 – Browser Session Hijacking per l’intercettazione in tempo reale del contenuto delle pagine autenticate, e T1557 – Adversary-in-the-Middle per l’architettura iframe che si interpone tra utente e servizio. Comprendere questa mappatura è essenziale per i SOC analyst che devono tradurre l’intelligence sulle minacce in regole di detection operative.

Secondo una ricerca di Cybernews, 86 delle 100 estensioni Chrome analizzate (selezionate tra le più diffuse e raccomandate) richiedono permessi classificabili come ad alto rischio al momento dell’installazione: scripting, accesso esteso agli host, monitoraggio delle tab. Un’analisi condotta da Incogni nel gennaio 2026 su 442 estensioni AI ha rilevato che il 52% raccoglie almeno un tipo di dato utente e il 29% raccoglie informazioni personali identificabili.

Il problema non risiede nei permessi in sé – molte estensioni legittime ne necessitano di ampi per funzionare correttamente. Il problema è che il modello di sicurezza del Chrome Web Store si basa su una revisione che avviene al momento della pubblicazione, non durante l’esecuzione. Ciò che viene ispezionato al momento dell’approvazione non corrisponde necessariamente a ciò che viene eseguito successivamente sul dispositivo dell’utente. Ed è esattamente questa asimmetria che la campagna AiFrame ha sfruttato con efficacia chirurgica.

AiFrame: l’architettura di una campagna coordinata

La campagna AiFrame scoperta da LayerX non è l’opera di un dilettante opportunista. È un’operazione coordinata, industriale nella sua organizzazione, che ha impiegato la tecnica dell’extension spraying – la pubblicazione simultanea di decine di estensioni con nomi e branding diversi ma con identica infrastruttura backend – per massimizzare la superficie di distribuzione e garantire la resilienza contro i takedown.

Tutte le estensioni identificate condividevano lo stesso codebase JavaScript, gli stessi permessi e comunicavano con un’unica infrastruttura backend ospitata sotto il dominio tapnetic[.]pro. L’estensione più diffusa, Gemini AI Sidebar, aveva raggiunto 80.000 installazioni prima della rimozione dal Chrome Web Store. Altre estensioni di rilievo includevano AI Sidebar (70.000 utenti), AI Assistant (60.000 utenti) e ChatGPT Translate (30.000 utenti).

Ma il dettaglio tecnico più rilevante riguarda l’architettura di esecuzione. Le estensioni non implementavano localmente alcuna funzionalità AI. Al loro posto, caricavano un iframe a schermo intero puntato verso sottodomini remoti dell’infrastruttura dell’attaccante – come claude[.]tapnetic[.]pro – che sovrapponeva una finta interfaccia alla pagina web corrente. Per l’utente, l’esperienza appariva identica a quella di un assistente AI legittimo. In realtà, l’intera interfaccia era controllata dall’attaccante, che poteva modificarne il comportamento in qualsiasi momento senza dover sottoporre aggiornamenti al Chrome Web Store.

Questa architettura è particolarmente insidiosa perché sfrutta un punto cieco fondamentale del processo di revisione: Google verifica il codice al momento della pubblicazione, ma il contenuto servito dagli iframe remoti può cambiare liberamente in qualsiasi momento successivo.

Come ha dichiarato la ricercatrice Natalie Zargarov di LayerX a eSecurity Planet, la campagna sfrutta la natura conversazionale delle interazioni con gli assistenti AI, che ha condizionato gli utenti a condividere informazioni dettagliate e sensibili in modo naturale. L’iframe malevolo intercettava questi dati prima ancora che raggiungessero qualsiasi servizio AI legittimo, creando di fatto un attacco man-in-the-middle invisibile tra l’utente e l’interfaccia che credeva autentica.

Cosa rubavano le estensioni Chrome AI malevole: un’analisi dei vettori di esfiltrazione

L’arsenale di raccolta dati della campagna AiFrame operava su quattro livelli distinti, ciascuno con obiettivi specifici.

Il primo livello riguardava l’estrazione del contenuto delle pagine. Le estensioni utilizzavano la libreria Readability di Mozilla per estrarre titoli, testo e metadati da qualsiasi sito visitato dall’utente, incluse pagine autenticate come home banking, pannelli di amministrazione cloud e piattaforme SaaS aziendali. Il contenuto estratto veniva trasmesso all’infrastruttura backend controllata dall’operatore della campagna.

Il secondo livello, forse il più dannoso dal punto di vista enterprise, era dedicato specificamente alla compromissione di Gmail. Quindici delle 30 estensioni includevano uno script di contenuto dedicato che si attivava su mail.google.com al caricamento del documento, iniettava elementi nell’interfaccia utente e utilizzava un MutationObserver per mantenere la persistenza e catturare continuamente il testo dei thread email. Persino le bozze non inviate potevano essere intercettate.

Il terzo livello coinvolgeva un meccanismo di riconoscimento vocale attivabile da remoto. Quando abilitato dall’operatore, questo modulo utilizzava l’API Web Speech del browser per registrare conversazioni reali dall’ambiente fisico dell’utente e generare trascrizioni, trasformando il computer compromesso in un dispositivo di sorveglianza ambientale.

Il quarto livello era la raccolta passiva e continua di credenziali, cookie di sessione e cronologia di navigazione, destinata ad alimentare il mercato degli infostealer e dei credential marketplace nel dark web.

Il risultato complessivo è che queste estensioni funzionavano come broker di accesso generalisti, capaci di raccogliere dati, monitorare il comportamento degli utenti ed evolvere silenziosamente nel tempo – esattamente la definizione che LayerX ha utilizzato nel proprio report.

AgreeToSteal: il primo add-in Outlook malevolo e il problema delle dipendenze dinamiche abbandonate

Se la campagna AiFrame ha dimostrato il rischio delle estensioni Chrome AI malevole distribuite attraverso marketplace ufficiali, il caso AgreeToSteal scoperto da Koi Security ha rivelato un rischio parallelo e forse ancora più subdolo: quello delle dipendenze dinamiche abbandonate.

AgreeTo era un add-in di scheduling per Outlook perfettamente legittimo, sviluppato da un programmatore indipendente e pubblicato nel Microsoft Office Add-in Store nel dicembre 2022. L’add-in funzionava, aveva buone recensioni e puntava a un URL ospitato su Vercel (outlook-one.vercel[.]app) da cui caricava la propria interfaccia. Quando lo sviluppatore ha abbandonato il progetto, l’URL su Vercel è diventato rivendicabile. Un attaccante lo ha rivendicato, vi ha installato un kit di phishing, e l’infrastruttura di Microsoft ha iniziato a servire la pagina malevola direttamente nella barra laterale di Outlook a chiunque avesse ancora l’add-in installato.

Gli add-in di Office non sono software scaricabili nel senso tradizionale. Sono essenzialmente URL che puntano a contenuti caricati nel prodotto Microsoft dal server dello sviluppatore. Questo significa che, come ha dichiarato Idan Dardikman, cofondatore e CTO di Koi Security, a The Hacker News, un add-in che è sicuro il lunedì può servire una pagina di phishing il martedì – o, come in questo caso, anni dopo. Microsoft verifica il manifest XML al momento della sottomissione, ma il contenuto effettivo può cambiare in qualsiasi momento senza ulteriore revisione.

Accedendo al canale di esfiltrazione dell’attaccante – un bot Telegram – i ricercatori di Koi hanno recuperato l’intera portata dell’operazione: oltre 4.000 credenziali Microsoft rubate, numeri di carte di credito e risposte a domande di sicurezza bancaria. L’attaccante stava attivamente testando le credenziali rubate nel momento in cui è stato scoperto e gestiva almeno una dozzina di kit di phishing aggiuntivi destinati a banche e provider di webmail.

Ciò che rende questo caso particolarmente significativo è che la vulnerabilità sfruttata non è tecnica in senso stretto: è architetturale. MDSec aveva identificato gli add-in di Office come superficie d’attacco già nel 2019, concludendo il proprio post con un avvertimento esplicito sulla possibilità che gli sviluppatori potessero distribuire add-in attraverso lo store ufficiale e sulle implicazioni di sicurezza di questa architettura. Sette anni dopo, AgreeTo è esattamente lo scenario che avevano previsto.

VK Styles e il pattern emergente: quando l’estensione diventa un’infrastruttura di comando

La terza campagna della “settimana nera” delle estensioni browser – VK Styles, scoperta sempre da Koi Security – aggiunge un ulteriore livello di complessità al quadro. Cinque estensioni Chrome mascherate da strumenti di personalizzazione per VKontakte (il social network russo da oltre 650 milioni di utenti) avevano silenziosamente dirottato oltre 500.000 account, mantenendo il controllo persistente per oltre sette mesi, da giugno 2025 a gennaio 2026.

La sofisticazione di questa campagna risiede nella sua architettura di command-and-control. Invece di comunicare con server esterni facilmente bloccabili, il malware utilizzava i tag metadata HTML di un profilo VKontakte come dead drop resolver – una tecnica mutuata dall’intelligence tradizionale in cui un punto di scambio apparentemente innocuo viene utilizzato come intermediario per nascondere le comunicazioni operative – celando gli URL dei payload di secondo stadio all’interno di contenuti che, per qualsiasi sistema di sicurezza, apparivano come normali metadati di un profilo social. Il codice malevolo era ospitato in un repository GitHub pubblico associato all’utente 2vk, con 17 commit documentati che mostravano un’evoluzione deliberata e sistematica delle funzionalità.

Come riportato nell’analisi di Koi Security, questa non è opera approssimativa: è un progetto software mantenuto con controllo di versione, testing e miglioramenti iterativi. Ogni aggiornamento ampliava le capacità del malware: manipolazione dei cookie CSRF per bypassare le protezioni di sicurezza di VK, iscrizione automatica delle vittime a gruppi controllati dall’attaccante (con probabilità del 75% a ogni sessione), reset forzato delle impostazioni dell’account ogni 30 giorni e tracciamento delle donazioni tramite l’API VK Donut per monetizzare direttamente le vittime.

Il contesto strutturale: un problema che non riguarda solo febbraio 2026

La concentrazione di eventi della seconda settimana di febbraio 2026 potrebbe dare l’impressione di un picco anomalo. In realtà, è la manifestazione visibile di un trend strutturale in accelerazione.

A dicembre 2024, un attacco alla supply chain aveva compromesso l’estensione Chrome di Cyberhaven, un’azienda di cybersecurity specializzata in data loss prevention. Un attacco di phishing aveva indotto uno sviluppatore a concedere l’accesso a un’applicazione OAuth malevola denominata “Privacy Policy Extension” – senza che le credenziali Google dello sviluppatore fossero effettivamente compromesse -, consentendo agli attaccanti di pubblicare una versione malevola dell’estensione che esfiltrò cookie e sessioni autenticate per circa 24 ore. L’incidente faceva parte di una campagna più ampia che aveva compromesso almeno 35 estensioni Chrome, esponendo oltre 2,6 milioni di utenti, come documentato dai ricercatori di Hunters Security e Sekoia.

A febbraio 2026, il ricercatore indipendente Q Continuum ha pubblicato un’analisi sistematica che ha identificato 287 estensioni Chrome coinvolte nell’esfiltrazione della cronologia di navigazione verso data broker, per un totale di 37,4 milioni di installazioni – circa l’1% dell’intera base utenti globale di Chrome. Le entità coinvolte nella raccolta dei dati spaziavano da Similarweb ad Alibaba Group, da ByteDance a numerosi broker di dati minori.

Secondo un’analisi di Barracuda Networks pubblicata il 25 febbraio 2026, le estensioni browser non sono più minacce marginali o fastidi di basso livello: sono ora un vettore di attacco scalabile, furtivo e capace di condurre sorveglianza su milioni di utenti, rubare dati sensibili e compromettere silenziosamente la sicurezza organizzativa. Uno studio condotto dalla Stanford University e dal CISPA Helmholtz Center for Information Security aveva già identificato migliaia di estensioni classificabili come security-noteworthy – contenenti malware, violazioni delle policy sulla privacy o vulnerabilità note – che rimanevano disponibili per anni, accumulando milioni di installazioni.

Estensioni Chrome AI malevole: perché il brand “intelligenza artificiale” è il cavallo di Troia perfetto

C’è un motivo specifico per cui la campagna AiFrame ha scelto di mascherarsi da assistente AI, e non è casuale. L’adozione massiva di strumenti come ChatGPT, Claude, Gemini e Grok ha creato un fenomeno comportamentale senza precedenti: gli utenti sono disposti a installare qualsiasi cosa prometta funzionalità AI, con una soglia di verifica significativamente più bassa rispetto ad altri tipi di software.

L’analisi di Incogni del gennaio 2026 su 442 estensioni AI nel Chrome Web Store ha documentato che il 42% utilizza il permesso di scripting – potenzialmente in grado di influenzare 92 milioni di utenti – e il 31,4% raccoglie contenuti dei siti web visitati. Tra le estensioni con oltre 2 milioni di download, anche strumenti legittimi e noti come Grammarly e QuillBot sono stati classificati come potenzialmente ad alto impatto sulla privacy, per la combinazione di dati raccolti e permessi richiesti – pur presentando, come nota Incogni, una bassa probabilità di utilizzo malevolo.

Il brand AI funziona come leva di fiducia perché opera su tre livelli psicologici simultanei. Il primo è l’urgenza dell’adozione: in un contesto lavorativo dove l’AI è percepita come vantaggio competitivo, il ritardo nell’adozione viene vissuto come rischio professionale. Il secondo è la normalizzazione della condivisione: le interfacce conversazionali addestrano gli utenti a condividere informazioni dettagliate – codice proprietario, documenti riservati, credenziali – come parte naturale del flusso di lavoro.

Il terzo è la fiducia nel marketplace: la presenza sul Chrome Web Store, con badge “Featured” e migliaia di recensioni, crea un’apparenza di legittimità che pochi utenti contestano. Alcune delle estensioni AiFrame erano addirittura contrassegnate come “Featured” dallo store, come evidenziato sia da LayerX che da Infosecurity Magazine, aumentando ulteriormente la fiducia degli utenti e accelerandone l’adozione.

Il modello di sicurezza rotto: “approva una volta, fidati per sempre”

Il filo rosso che collega AiFrame, AgreeToSteal e VK Styles non è il tipo di dati rubati o il vettore di distribuzione specifico. È un difetto architetturale comune a tutti i marketplace di estensioni e add-in: il modello “approva una volta, fidati per sempre”.

Google verifica il codice di un’estensione al momento della pubblicazione. Microsoft verifica il manifest XML di un add-in al momento della sottomissione. Ma nessuno dei due verifica sistematicamente che cosa viene effettivamente eseguito in seguito. Nel caso di AiFrame, il codice approvato era tecnicamente benigno: caricava un iframe. Il contenuto dell’iframe, controllato dall’attaccante, poteva cambiare in qualsiasi momento. Nel caso di AgreeToSteal, il manifest dell’add-in non era mai cambiato: era l’URL di destinazione a essere stato dirottato. Nel caso di VK Styles, i payload malevoli erano ospitati su un profilo VKontakte e un repository GitHub, completamente al di fuori del perimetro di monitoraggio del Chrome Web Store.

Come ha dichiarato Dardikman di Koi Security a The Hacker News, il problema strutturale è identico in tutti i marketplace che ospitano dipendenze remote dinamiche: approvazione una tantum e fiducia perenne. I dettagli specifici variano per piattaforma, ma il gap fondamentale che ha reso possibile AgreeToSteal esiste ovunque un marketplace verifichi un manifest al momento della sottomissione senza monitorare ciò che gli URL referenziati servono effettivamente in seguito.

Vale la pena osservare che Google non è rimasta inerte. La transizione da Manifest V2 a Manifest V3, avviata nel 2023 e progressivamente imposta nel Chrome Web Store, ha introdotto restrizioni significative: i background script persistenti sono stati sostituiti da service worker con ciclo di vita limitato, i permessi devono essere dichiarati esplicitamente e le capacità di intercettazione delle richieste di rete sono state ridotte.

In teoria, MV3 avrebbe dovuto ridurre drasticamente la superficie d’attacco delle estensioni. In pratica, la campagna AiFrame dimostra i limiti di questo approccio: spostando l’intera logica malevola in un iframe remoto caricato dal server dell’attaccante, l’estensione opera in un territorio che MV3 non è progettato per governare. Il codice esaminabile al momento della pubblicazione è minimo e tecnicamente benigno; è il contenuto servito a runtime dall’infrastruttura esterna che compie le azioni malevole. MV3 ha alzato l’asticella, ma non ha risolto il problema fondamentale delle dipendenze dinamiche non monitorate.

Questo non è un bug. È un difetto di progettazione che trasforma ogni estensione browser e ogni add-in Office in una potenziale backdoor dormiente, attivabile dall’attaccante nel momento che ritiene più opportuno.

Implicazioni operative per i professionisti della sicurezza

La domanda che ogni CISO dovrebbe porsi dopo la settimana dell’11-16 febbraio 2026 non è “come impedisco agli utenti di installare estensioni malevole” – una battaglia persa in partenza. La domanda corretta è: “tratto il browser come parte della superficie d’attacco enterprise con la stessa governance che applico agli endpoint e ai servizi cloud?”.

Le contromisure efficaci operano su diversi piani complementari.

Sul piano della governance delle estensioni, le organizzazioni devono implementare policy di allowlisting che consentano l’installazione solo di estensioni specificamente approvate. Chrome Enterprise offre controlli gestiti che permettono agli amministratori IT di curare liste di estensioni sicure, bloccare minacce note e rimuovere add-on compromessi. La revisione deve essere un processo continuo, non un’approvazione una tantum: ogni aggiornamento di un’estensione autorizzata dovrebbe innescare una nuova valutazione.

Sul piano del monitoraggio comportamentale, è necessario implementare soluzioni che osservino il comportamento delle estensioni in tempo reale – trasferimenti di dati anomali, comunicazioni frequenti con server esterni, alterazione delle impostazioni del browser – piuttosto che affidarsi esclusivamente alla reputazione al momento dell’installazione. Le estensioni vanno trattate come componenti software privilegiati che richiedono sorveglianza continua.

Sul piano della detection operativa, i SOC analyst dovrebbero implementare regole specifiche per identificare i pattern documentati in queste campagne. Per la campagna AiFrame, gli indicatori critici includono: connessioni in uscita verso il dominio tapnetic[.]pro e relativi sottodomini, la presenza di iframe full-screen iniettati da estensioni che sovrappongono contenuti remoti alle pagine web attive, e l’attivazione non autorizzata dell’API Web Speech da processi collegati a estensioni.

Per AgreeToSteal, l’indicatore principale è l’add-in con ID WA200004949 e connessioni verso outlook-one.vercel[.]app. Le regole Sigma per la detection di esfiltrazione via estensioni browser dovrebbero monitorare volumi anomali di traffico HTTPS in uscita correlati ai processi del browser, in particolare verso domini registrati di recente o con bassa reputazione, e l’accesso programmatico ai contenuti di Gmail (letture DOM ripetute su mail.google.com con pattern temporali regolari). La lista completa degli indicatori di compromissione per la campagna AiFrame è disponibile nel report tecnico di LayerX.

Sul piano della riduzione della superficie d’attacco, occorre valutare criticamente i permessi richiesti da ogni estensione. Un’estensione di presa appunti che richiede accesso a tutti i dati su tutti i siti web è un segnale d’allarme. Le wildcard nei permessi host dovrebbero essere bloccate salvo giustificazione documentata. L’accesso alle API sensibili come Web Speech, clipboard e storage dovrebbe essere limitato al minimo indispensabile.

Sul piano della protezione dell’identità, il caso AiFrame dimostra che i cookie di sessione rubati tramite estensioni malevole alimentano direttamente la catena infostealer – credential marketplace – attacco ransomware. L’adozione di autenticazione FIDO2/WebAuthn, la revoca automatica delle sessioni e il monitoraggio continuo delle sessioni attive diventano essenziali quando il browser è un vettore di compromissione primario.

Sul piano della gestione degli add-in Office, il caso AgreeToSteal impone un audit sistematico di tutti gli add-in installati in ambiente Microsoft 365, con attenzione particolare a quelli non più mantenuti dallo sviluppatore originale. Gli add-in abbandonati con URL potenzialmente rivendicabili rappresentano un rischio specifico che richiede inventariazione e bonifica proattiva.

La dimensione normativa: NIS2, DORA e la responsabilità dell’organizzazione

Le implicazioni di quanto documentato non sono esclusivamente tecniche. La direttiva NIS2, in vigore nell’Unione Europea, impone alle entità essenziali e importanti l’adozione di misure di gestione del rischio cybersecurity che comprendano la sicurezza della supply chain, inclusa la gestione delle vulnerabilità nei componenti software forniti da terze parti. Le estensioni browser installate sui dispositivi aziendali rientrano pienamente in questa definizione.

Il Regolamento DORA (Digital Operational Resilience Act), applicabile al settore finanziario europeo, richiede esplicitamente la gestione del rischio ICT legato a fornitori terzi e la verifica continua della resilienza operativa digitale. Un’estensione Chrome che esfiltra il contenuto delle email aziendali e le credenziali di accesso ai servizi cloud rappresenta un incidente che rientra negli obblighi di segnalazione previsti dal regolamento.

Per le organizzazioni soggette al GDPR, la raccolta non autorizzata di email, credenziali e cronologia di navigazione attraverso estensioni malevole costituisce una violazione dei dati personali che richiede notifica all’autorità di controllo entro 72 ore dalla scoperta. Il fatto che la compromissione sia avvenuta attraverso un componente software installato dall’utente non esime l’organizzazione dalla responsabilità: la mancata governance delle estensioni browser sui dispositivi aziendali può essere contestata come inadeguatezza delle misure tecniche e organizzative previste dall’articolo 32.

Prospettive e scenari evolutivi

La traiettoria delle estensioni Chrome AI malevole nel 2026 suggerisce tre sviluppi che i professionisti della sicurezza dovrebbero anticipare.

Il primo è la convergenza tra estensioni malevole e agenti AI. Con l’adozione crescente di agenti AI che operano attraverso il browser – navigando siti, compilando moduli, interagendo con servizi web – le estensioni malevole possono intercettare, manipolare o reindirizzare le azioni degli agenti. Un’estensione che modifica silenziosamente il contenuto di una pagina prima che un agente AI lo processi può avvelenare le decisioni a valle senza lasciare tracce visibili.

Il secondo è la weaponization dei marketplace come canale di distribuzione. Il modello AiFrame dimostra che i marketplace ufficiali possono essere utilizzati come infrastruttura di distribuzione affidabile per campagne malevole su larga scala. La combinazione di extension spraying, iframe remoti e aggiornamenti server-side crea un modello di attacco altamente resiliente che le attuali policy di revisione degli store non sono in grado di contrastare efficacemente.

Il terzo è l’estensione del pattern ad altri ecosistemi. AgreeToSteal ha dimostrato che il medesimo modello di attacco – dipendenze remote dinamiche il cui contenuto può cambiare dopo l’approvazione – si applica agli add-in di Microsoft Office, ai plugin degli IDE come Visual Studio Code e potenzialmente a qualsiasi piattaforma che distribuisca componenti con dipendenze esterne non monitorate.

Conclusione: il browser non è più un’applicazione – è un perimetro

La settimana dell’11-16 febbraio 2026 ha reso evidente ciò che molti professionisti della sicurezza sospettavano da tempo: il browser è diventato un ambiente di esecuzione ad alto privilegio che opera al di fuori della governance tradizionale di endpoint e rete. Le estensioni Chrome AI malevole della campagna AiFrame, il dirottamento dell’add-in Outlook AgreeToSteal e la compromissione di massa di VK Styles non sono incidenti isolati. Sono manifestazioni di un problema architetturale che riguarda l’intero ecosistema dei marketplace software: il modello “approva una volta, fidati per sempre” è strutturalmente incompatibile con un panorama di minacce in cui gli attaccanti possono modificare il comportamento di un componente approvato in qualsiasi momento successivo alla revisione.

Per i CISO e i responsabili della sicurezza, la lezione operativa è chiara: il browser va trattato come parte integrante della superficie d’attacco enterprise, con governance, visibilità e capacità di risposta equivalenti a quelle applicate agli endpoint e ai servizi cloud. Senza questo cambio di paradigma, strumenti apparentemente innocui di produttività e personalizzazione continueranno a trasformarsi in canali di compromissione persistente che operano in piena vista.

Le estensioni Chrome AI malevole non sono una minaccia emergente. Sono una minaccia strutturale che richiede una risposta strutturale.