L’automazione prometteva di semplificare la vita online. E invece i nuovi browser “intelligenti”, quelli che eseguono azioni per nostro conto, stanno infrangendo la regola più elementare della sicurezza sul web: la same-origin policy. Anche in contesti del tutto innocenti, questi agenti digitali mescolano dati tra siti diversi come se i confini tra domini non esistessero. Lo scorso giugno, il paper pubblicato su arXiv da un gruppo di ricercatori ha acceso i riflettori sul problema, costruendo un benchmark — SOPBench — che misura quanto spesso i browser agentici violino questa protezione. Il risultato è disarmante: lo fanno di continuo, sia in attività quotidiane sia sotto attacchi mirati.
Per capire la portata del guaio, bisogna ripescare il concetto di same-origin policy, pilastro silenzioso del web da quasi trent’anni. In parole povere, è la regola che impedisce a uno script caricato da un sito di leggere i dati di un altro sito. Se apro la mia banca e in un’altra scheda c’è un sito malevolo, quel sito non può dare un’occhiata al mio saldo. I browser agentici, però, fanno esattamente il contrario: navigano da un dominio all’altro, compiono operazioni, estraggono contenuti, spesso portandosi dietro informazioni sensibili. L’agente diventa così un canale automatico per flussi di dati tra origini diverse, un ponte che la same-origin policy era stata pensata per abbattere.
La promessa infranta
SOPBench ha messo alla prova i browser agentici più diffusi, simulando sia scenari benigni — per esempio prenotare un volo e recuperare conferme da email — sia scenari di attacco, in cui un sito ostile cerca di carpire dati. In entrambi i casi, le violazioni della same-origin policy sono state frequenti. I confini digitali che editori, banche e servizi online ritenevano solidi si sono rivelati, per questi agenti, semplici linee tratteggiate.
Non si tratta di una falla occasionale. Il meccanismo è strutturale: un agente che per definizione attraversa domini diversi rischia di amalgamare dati che dovrebbero restare separati. Per chi pubblica contenuti, per chi gestisce un e-commerce o un’applicazione web, il messaggio è chiaro: l’automazione promessa dagli agentic browser può trasformarsi in un veicolo di contaminazione dei dati, minando le fondamenta della fiducia online. Eppure c’è chi ha già costruito un argine, partendo proprio dalla ricerca che ha documentato il problema.
Il rimedio open source
Dalle violazioni sistematiche emerse da SOPBench, lo stesso gruppo di ricerca è passato subito alla fase di difesa. La soluzione proposta si chiama SOPGuard, un meccanismo pensato per imporre il rispetto della same-origin policy proprio nei browser agentici. Non un’applicazione esterna, ma un componente integrato nel browser stesso che intercetta e corregge i comportamenti a rischio. La vera novità è che SOPGuard è già stato implementato in BrowserOS, un agentic browser open-source basato su un fork di Chromium e disponibile su GitHub.
BrowserOS esegue agenti di intelligenza artificiale in modo nativo, mantenendo il controllo sui flussi di dati. La natura open source permette a chiunque di ispezionare il codice, verificare come vengono gestite le richieste cross-origin e contribuire al rafforzamento delle protezioni. Un approccio trasparente che contrasta con le scatole chiuse dei concorrenti commerciali. Inoltre, BrowserOS è l’unico tra gli agentic browser a supportare il protocollo MCP Server, uno standard che consente di collegare modelli linguistici a strumenti esterni senza perdere il governo di ciò che avviene dietro le quinte. Per un editore o per un’azienda, significa poter delegare compiti all’agente sapendo che i confini tra i propri dati e quelli altrui rimangono sotto sorveglianza, non affidati a una logica opaca.
La vera incognita, a questo punto, non è più tecnica. SOPGuard e BrowserOS dimostrano che una protezione efficace è realizzabile. Il nodo da sciogliere è un altro: quanto velocemente editori, sviluppatori e gestori di piattaforme adotteranno questa protezione? Perché la sicurezza offerta da uno strumento aperto vale solo se entra nelle abitudini di chi costruisce e mantiene i servizi online.
Il campo di battaglia
Con una soluzione concreta sul tavolo, la partita si sposta sul terreno della concorrenza. BrowserOS si presenta come alternativa orientata alla privacy rispetto a ChatGPT Atlas, Perplexity Comet e Dia. Tutti strumenti chiusi: né Chrome né Comet offrono il codice sorgente; nessuno di loro supporta MCP Server. In un mercato che si sta affollando, la trasparenza potrebbe diventare l’elemento che sposta gli equilibri. Per chi pubblica contenuti o gestisce applicazioni web, la scelta del browser agentico non sarà più dettata solo dalla comodità o dalla potenza dell’automazione. Diventerà una decisione strategica, legata alla capacità di difendere l’integrità dei propri dati e di garantire che la fiducia degli utenti non venga erosa da ingegnerie opache.
La tensione è chiara: da un lato la promessa di un’interazione più fluida e automatica con il web, dall’altro il rischio concreto di un collasso dei confini digitali che fino a oggi hanno retto l’architettura della rete. BrowserOS e SOPGuard offrono una strada per tenere insieme efficienza e sicurezza, ma spostano il peso della scelta su chi il web lo popola e lo alimenta. Per gestori di siti, sviluppatori e imprenditori digitali, ignorare il problema non sarà più un’opzione. La domanda non è se i browser agentici violeranno la same-origin policy — lo fanno già — ma se si sceglierà di adottare gli strumenti che possono impedirlo.
