Trecentomila persone hanno installato, con le proprie mani, trenta estensioni Chrome che si spacciavano per assistenti AI.
Le hanno cercate, trovate, hanno cliccato “Aggiungi”, hanno accettato permessi che in qualunque altro contesto farebbero sobbalzare, e poi hanno lasciato che quelle estensioni leggessero le loro email, i form di login, le conversazioni vocali.
Nessuno le ha costrette. Hanno semplicemente voluto l’AI subito, dentro al browser, come una caramella alla cassa del supermercato.
La campagna si chiama AiFrame e l’ha scoperta LayerX. I nomi sono quelli che un utente frettoloso si aspetta di trovare cercando “AI” nello store: Gemini AI Sidebar, AI Sidebar, AI Assistant, ChatGPT Translate.
Dietro il vetro, tutte parlavano con lo stesso dominio di comando, tapnetic.pro. Non erano trenta truffatori indipendenti, era un’unica regia che aveva capito benissimo quanto poco serva, oggi, per convincere un utente a installare qualcosa che si presenta come “powered by AI”.
A proposito di quanto poco serva. Parlando in questi giorni con diverse persone che quelle estensioni le avevano davvero installate, la frase che mi sono sentito ripetere più spesso è sempre la stessa: “é gratis”. AI gratis, nessun abbonamento, nessuna carta di credito.
Strano che nessuno si sia fermato un istante a chiedersi come mai… Vero?
Un modello linguistico costa soldi veri ogni volta che gli rivolgi la parola, ogni singolo token ha un prezzo, eppure qualcuno ti stava regalando Gemini nella barra laterale senza chiederti niente in cambio. Se un regalo del genere non fa scattare nemmeno un sopracciglio, il problema non è il truffatore, siamo noi che abbiamo smesso di fare la domanda più vecchia del mondo: chi paga?
Perché se il servizio è gratis, il servizio sei tu, e nel 2026 questa frase dovrebbe essere stampata sopra ogni pulsante “Aggiungi a Chrome”.
Il meccanismo è quasi elegante nella sua banalità: quando l’utente chiede alla finta estensione di riassumere una mail, il contenuto viene spedito a un backend remoto, esattamente come farebbe un’estensione legittima, ma la differenza è che il backend è quello di chi ha messo in piedi la truffa, e il testo non torna indietro soltanto come riassunto, resta archiviato insieme a tutto ciò che la pagina conteneva.
Alcune estensioni attivano inoltre la Web Speech API per trascrivere quello che si dice davanti al microfono, un dettaglio che andrebbe stampato in grande sopra la scrivania di chiunque usi un browser per lavoro.
Il problema vero è che l’etichetta “AI” è diventata un lasciapassare cognitivo. Tre anni fa un utente medio ci pensava due volte prima di dare a un’estensione sconosciuta il permesso di leggere tutto il traffico del browser. Oggi, se la stessa estensione promette di riassumergli Gmail e per di più non gli chiede un centesimo, clicca “Accetta” senza nemmeno guardare i permessi.
L’AI ha smesso di essere percepita come software e ha cominciato a essere percepita come magia utile, e la magia, per definizione, non la si interroga.
Nessuno degli strumenti classici della sicurezza ha fallito. Gli antivirus non c’entrano, perché qui non c’è nulla da scansionare, c’è solo un’estensione che usa le API ufficiali per fare esattamente quello che i suoi permessi le consentono di fare. Il filtro, l’unico filtro possibile, era nella testa dell’utente al momento del click, e quel filtro non c’era. Trecentomila volte non c’era.
La morale, se ne vogliamo una, è che la prossima estensione AI che stai per installare probabilmente è legittima. Forse. Ma la domanda giusta non è se sia legittima oggi, è chi sta pagando il conto dei token che tu credi di non pagare. Se la risposta non la conosci, allora la risposta è già una.
Fonte: LayerX / BleepingComputer, campagna AiFrame, febbraio 2026.