: Lascia il tuo voto agli Italian Security Awards 2026
Un modello di AI ha collegato un rischio teorico dei browser a una tecnica di cifratura funzionante, azionabile senza codice nativo, exploit o competenze avanzate.
Una serie di errori di modello di AI ha portato alla luce una tecnica ransomware che i difensori consideravano impraticabile. La scoperta è di un team di Check Point Research, che ha isolato la tecnica setacciando quasi 3.000 file attribuiti a DeepSeek nella telemetria pubblica, scovando un'applicazione Python Flask denominata InfernoGrabber. A prima vista sembrava una classica allucinazione generativa, ma il codice generato invocava un metodo legittimo dell’API File System Access che permette a una pagina web di chiedere l'accesso a una cartella sul dispositivo dell'utente, leggere i file al suo interno, modificarli e trasmetterne il contenuto a un server remoto. Nessuna installazione, nessun exploit, soltanto un prompt di autorizzazione.
Tutto questo è interessante, ma l’informazione importante è un’altra: chi aveva formulato la richiesta al modello con ogni probabilità ignorava l'esistenza di quella API. L’autore aveva banalmente descritto un obiettivo malevolo di alto livello, e il modello aveva cercato nella propria conoscenza del funzionamento dei browser qualcosa che vi corrispondesse. Questo significa che un'AI può ragionare usando le sue conoscenze di una piattaforma esistente e far affiorare un percorso di attacco inedito.
Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative
L’API File System Access non nasce con intenti malevoli. La sua funzione è consentire ad applicazioni web legittime, come editor fotografici e strumenti creativi, di leggere e scrivere file in una cartella locale previo consenso esplicito dell'utente. Gli ingegneri dei browser avevano documentato in passato il rischio teorico che un ransomware potesse abusarne, ma la comunità difensiva aveva archiviato l'ipotesi come poco praticabile. Il campione generato da DeepSeek dimostra che avevano torto.
DeepSeek è partito dalla app, ha aggiunto di propria iniziativa il furto di token Discord, la raccolta di numeri di carta di credito, il recupero delle seed phrase dei wallet e l'accesso alla webcam, senza giungere a nulla perché gli esperti hanno appurato che le funzioni create erano allucinate e prive di reale efficacia. L'unica azione che funzionava davvero era la cifratura della cartella, che era l’unica richiesta di partenza di chi aveva interrogato il modello.

Il threat actor stava usando DeepSeek perché i principali vendor di AI bloccano le richieste legate a comportamenti ransomware, furto di credenziali o distribuzione di malware. Notoriamente DeepSeek non fa altrettanto, è gratuito, è ampiamente accessibile, quindi è uno strumento appetibile per gli attaccanti con competenze tecniche limitate.
Detto questo, i ricercatori hanno valutato il rischio pratico della tecnica, mediante un proof of concept controllato e basato su DeepSeek V4. Quello che hanno riscontrato è che la catena di attacco è disarmante nella sua semplicità: la vittima viene attirata su una pagina che appare come un upscaler AI per avatar; per elaborare l'immagine il sito le chiede di concedere l'accesso a una cartella locale; poiché gli utenti si aspettano che le applicazioni web richiedano il permesso di salvare i file modificati, l'esca di social engineering va a segno. A questo punto la pagina malevola legge i file della cartella selezionata, ne esfiltra il contenuto e li cifra; al termine compare una richiesta di riscatto in Bitcoin, il tutto senza che alcun eseguibile nativo venga scaricato o installato sul dispositivo.
Il rischio riguarda i dispositivi Android, dove l’attacco dà accesso alla cartella DCIM che raccoglie anni di immagini personali, documenti scansionati, screenshot bancari e codici di recupero. L’attacco funziona anche con i browser desktop Windows, macOS e Linux basati su Chromium, mentre non va a buon fine con iOS Safari e Chrome per iOS, e con FireFox.
I ricercatori sottolineano che il campione DeepSeek originale, per quanto incompleto, può essere trasformato in un attacco pienamente funzionante con uno sforzo minimo e con una competenza di basso livello. Inoltre, sono già stati osservati indizi di threat actor reali che tentano questo tipo di attacco tramite semplici prompt ai modelli linguistici. Insomma, il rischio è concreto e non è remoto. Check Point precisa che al momento della pubblicazione non risultano evidenze di campagne attive che sfruttino questa specifica tecnica.
Sul piano difensivo, i prompt di accesso alle cartelle meritano un livello di attenzione che oggi raramente ricevono. In altre parole, prima di dare assenso all’a scrittura di file e cartelle sarebbe bene verificare quale sito stia chiedendo l'accesso, quale cartella venga selezionata e se il permesso di scrittura sia davvero necessario per l'operazione desiderata. È preferibile evitare di concedere alle pagine web l'accesso alla libreria fotografica principale o a qualsiasi directory che contenga dati sensibili o irripetibili. Per gli strumenti poco conosciuti, la scelta più prudente è indicare una cartella vuota. Ovviamente è mandatorio eseguire backup regolari in modo che i file cifrati non restino mai l'unica copia disponibile.
Esplora altri articoli su questi argomenti
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
03-07-2026
03-07-2026
03-07-2026
03-07-2026