(in)sicurezza digitale

2026-04-29 09:07:36

ShinyHunters colpisce attraverso Anodot: la supply chain SaaS apre i data warehouse Snowflake di decine di aziende — ora nel mirino Vimeo

Un solo fornitore SaaS compromesso, e l’effetto domino colpisce decine di aziende enterprise. È la logica brutale dell’attacco supply chain che ShinyHunters ha affinato negli ultimi due anni: questa volta la porta di servizio si chiama Anodot, una piattaforma di analytics cloud che integra direttamente con Snowflake. L’ultimatum più recente è di oggi, 28 aprile 2026, contro Vimeo: pagare entro il 30 aprile o subire la pubblicazione dei dati esfiltrati da Snowflake e BigQuery.

Il vettore: compromettere il custode per svaligiare il caveau

Anodot è una piattaforma di monitoraggio dei costi cloud e anomaly detection usata da nomi come Atlassian, T-Mobile, UPS, Vimeo, Nordstrom, Amdocs, NICE e CyberArk. Per svolgere il suo lavoro, Anodot richiede token di accesso privilegiato ai data warehouse dei clienti — Snowflake in primis. È qui che ShinyHunters ha trovato la sua leva: invece di attaccare ogni vittima singolarmente, ha preso di mira il custode delle chiavi.

Secondo le analisi dei ricercatori di RH-ISAC e Mitiga, gli attaccanti hanno sottratto token di autenticazione dall’infrastruttura di Anodot nel corso delle prime settimane di aprile 2026. Questi token, validi per accedere direttamente agli account Snowflake dei clienti, hanno aperto la strada all’esfiltrazione senza la necessità di sfruttare alcuna vulnerabilità nelle piattaforme delle vittime finali. Snowflake stessa non è stata violata: il problema è nella catena di fiducia tra il provider SaaS e i suoi clienti.

Chi è ShinyHunters e il precedente Snowflake del 2024

ShinyHunters è un collettivo cybercriminale attivo dal 2020, specializzato in esfiltrazione massiva di database e successiva estorsione. Il gruppo è salito alla ribalta internazionale con la violazione di Tokopedia (91 milioni di account), Microsoft GitHub e decine di altre piattaforme, finendo per diventare uno degli attori più prolifici nel mercato underground dei dati rubati.

Il precedente Snowflake — scoppiato nella primavera-estate del 2024 — aveva già mostrato la pericolosità del vettore credential stuffing su piattaforme di dati cloud: Ticketmaster (560 milioni di record), AT&T (quasi tutti i clienti americani), Santander e oltre 165 organizzazioni compromesse attraverso credenziali rubate agli utenti di Snowflake privi di autenticazione multifattore. In quel caso il metodo era il credential stuffing diretto; ora il livello di sofisticazione è aumentato: si colpisce il provider intermedio per aggirare anche l’MFA delle vittime finali.

La progressione degli attacchi: da Rockstar Games a Vimeo

La timeline della campagna Anodot è ricostruibile dai post del leak site di ShinyHunters:

• 11 aprile 2026 — ShinyHunters pubblica un messaggio rivolto a Rockstar Games: “Your Snowflake instances were compromised thanks to Anodot. Pay or leak by April 14”. Rockstar conferma una violazione a terze parti, specificando che non sono stati colpiti dati dei giocatori.
• Metà aprile 2026 — Emergono segnalazioni di altri clienti Anodot potenzialmente esposti; RH-ISAC emette un advisory alla propria comunità di retail e hospitality.
• 28 aprile 2026 (oggi) — Nuovo ultimatum: ShinyHunters afferma di aver esfiltrato dati Snowflake e BigQuery di Vimeo tramite Anodot, con scadenza per il pagamento fissata al 30 aprile 2026.

Anatomia tecnica dell’attacco

Il meccanismo di compromissione sfrutta la natura stessa dell’integrazione tra Anodot e Snowflake. Per monitorare i costi e rilevare anomalie nei data warehouse dei clienti, Anodot conserva nei propri sistemi token di accesso o credenziali di servizio con privilegi elevati — tipicamente account con ruolo ACCOUNTADMIN o SYSADMIN su Snowflake, o service account equivalenti su BigQuery.

Una volta che gli attaccanti hanno sottratto questi token dall’infrastruttura di Anodot, le operazioni successive sono elementari:

• Autenticazione diretta all’account Snowflake della vittima tramite il token rubato
• Enumerazione dei database e delle tabelle disponibili
• Esecuzione di query SELECT * su tabelle di interesse (dati utenti, transazioni, metriche interne)
• Esfiltrazione tramite COPY INTO verso stage esterni o download diretto

L’intera catena può essere eseguita senza toccare i sistemi interni della vittima finale, rendendo il rilevamento estremamente difficile per i team SOC che non monitorano attivamente gli accessi da IP insoliti o da service account normalmente inattivi nelle ore notturne.

Indicatori di compromissione e segnali da monitorare

# Snowflake: query per rilevare accessi anomali da service account
SELECT
  user_name,
  client_ip,
  event_timestamp,
  reported_client_type
FROM snowflake.account_usage.login_history
WHERE user_name ILIKE '%anodot%'
   OR user_name ILIKE '%integration%'
   OR user_name ILIKE '%svc%'
ORDER BY event_timestamp DESC;

# Verificare sessioni attive non riconosciute
SELECT *
FROM snowflake.account_usage.sessions
WHERE client_application_id NOT IN (
  /* lista delle applicazioni legittime attese */
)
AND created_on > DATEADD(day, -30, CURRENT_TIMESTAMP());

# Controllare query di esfiltrazione massiva
SELECT query_text, user_name, rows_produced, execution_time
FROM snowflake.account_usage.query_history
WHERE rows_produced > 100000
  AND query_type = 'SELECT'
ORDER BY start_time DESC;

Il problema strutturale: la fiducia implicita nei provider SaaS

Il caso Anodot mette a nudo una vulnerabilità sistemica nell’architettura di sicurezza delle aziende enterprise moderne: la proliferazione di integrazioni SaaS-to-SaaS crea una superficie d’attacco spesso invisibile ai team di sicurezza. Ogni strumento di monitoraggio, analytics, ITSM o osservabilità che si connette ai sistemi core diventa un potenziale pivot point per un attaccante.

Il principio del least privilege — teoricamente applicato ai dipendenti — viene sistematicamente violato per i service account delle integrazioni SaaS, che spesso ricevono accessi di tipo amministratore perché “così funziona più facilmente”. Il risultato è che un unico provider compromesso può esporre l’intero ecosistema dati di un’organizzazione enterprise.

Raccomandazioni operative immediate

• Audit immediato delle integrazioni Anodot: se la vostra organizzazione usa Anodot, ruotate immediatamente tutti i token di accesso e le credenziali condivise con il provider. Verificate i log di accesso Snowflake/BigQuery per le ultime 4 settimane.
• Network policies su Snowflake: abilitate le network policy che restringono l’accesso ai data warehouse solo agli IP autorizzati. Gli accessi da provider SaaS di terze parti dovrebbero provenire da range IP documentati e noti.
• OAuth e token scoping: privilegiate integrazioni che usano OAuth con scope limitati rispetto a credenziali amministrative persistenti. Implementate token rotation automatica con TTL brevi.
• Inventario delle integrazioni SaaS-to-SaaS: molte organizzazioni non hanno visibilità completa su quanti provider SaaS hanno accesso ai propri data warehouse. Un audit del tipo “chi può leggere cosa nel mio Snowflake?” è un esercizio urgente.
• Alerting su query anomale: configurate alerting su volumi di dati estratti superiori ai baseline storici, specialmente per service account di integrazioni esterne.

L’ultimatum del 30 aprile su Vimeo resterà probabilmente senza risposta pubblica, come già avvenuto con Rockstar. Ma la campagna continuerà: finché esistono decine di provider SaaS con accessi privilegiati non monitorati ai dati delle loro enterprise, ShinyHunters — e gruppi analoghi — hanno un modello di business altamente redditizio.

Trames Venenosus

2026-04-01 15:42:10

Buongiorno.

Ecco altri #consiglidifollow, suddivisi per argomento.
Non sono elenchi esaustivi: condivido gli account che mi è capitato d'incontrare per caso e che mi piacciono.

Quarto elenco: Giornalismo, Informazione.

(aggiornamento 29 aprile 2026)

@andreabettini
@anneapplebaum
@antoniomazzeo
@Bellingcat
@dangillmor
@DilettaFileni
@ericwickham
@ferrante
@fingolas@federation.network
@fingolas@journa.host
@gerardodamico
@giornalismo
@giorgiosarto
@giuliocavalli
@IlBortoneficio
@ildisinformatico
@jacoporanieri
@jeffjarvis
@kitoconnell
@macfranc
@maurobiani
@oconnell
@phastidio
@Pitoc
@poliversity
@randahl
@RFancio
@Robertostorti
@Sarahp
@mho
@mikez_petm
@salvomic
@smaurizi
@timkmak
@Vitalba
@Vittoria
@ulaulaman
@vanamonde
@vdonvito
@VoordeMus

Spcnet.it

2026-04-28 16:40:16

Visual Studio Code 1.118: Agents app, Copilot CLI avanzato e TypeScript 7.0 in anteprima

La build Insiders di Visual Studio Code è arrivata alla versione 1.118, con un pacchetto di aggiornamenti concentrati soprattutto sullo sviluppo agente, sull’integrazione con Copilot CLI e sul supporto anticipato a TypeScript 7.0. Queste note coprono le modifiche introdotte tra il 21 e il 26 aprile 2026.

Agents app: SSO condiviso con VS Code

Da questa build, l’Agents app di VS Code supporta la condivisione del Single Sign-On (SSO) con Visual Studio Code su Windows. L’autenticazione è bidirezionale: se esegui il logout da una delle due applicazioni, l’operazione si propaga automaticamente all’altra. Questo elimina la necessità di autenticarsi separatamente nei due ambienti, rendendo più fluido il lavoro che alterna editor e agenti.

Sempre nell’Agents app, da questa versione viene rispettato lo stato di workspace trust già impostato in Visual Studio Code. Non è quindi più necessario ridefinire le autorizzazioni di fiducia del workspace quando si passa da un contesto all’altro.

Supporto per sessioni Claude Code nell’Agents app

Una novità rilevante per chi usa agenti IA nel proprio flusso di sviluppo: l’Agents app integra ora il supporto per le sessioni di Claude Code. Questo significa che puoi avviare e gestire sessioni di Claude Code direttamente dall’interno di VS Code, senza passare al terminale o a un’applicazione separata.

Per navigare rapidamente tra le sessioni aperte nell’Agents app sono stati aggiunti nuovi keybinding: Ctrl+1 e Ctrl+2 permettono di passare tra le sessioni senza dover usare il mouse.

Skill tool per le personalizzazioni agente e context: fork

Il sistema di personalizzazione degli agenti si arricchisce di un nuovo skill tool per le agent customizations. Insieme a questa funzione, è stato introdotto il supporto per context: fork, che permette di isolare il contesto di una skill in un ramo separato. Questo offre maggiore controllo su quali informazioni vengono condivise tra skill diverse durante una sessione agente.

Il menu di creazione delle personalizzazioni chat mostra ora anche descrizioni esplicative per ciascuna posizione di skill, aiutando gli sviluppatori a scegliere il tipo corretto di personalizzazione senza dover consultare la documentazione.

Copilot CLI: selezione automatica del modello e badge

Copilot CLI ha ricevuto il supporto per la selezione automatica del modello (auto model). Questa funzione analizza il contesto della richiesta e sceglie automaticamente il modello più adatto, senza che l’utente debba specificarlo manualmente.

Nelle risposte Copilot CLI visualizzate nel pannello chat è ora presente un badge con il nome del modello che ha gestito la richiesta. Questa piccola aggiunta è utile per chi vuole tenere traccia di quale modello viene effettivamente usato nelle diverse situazioni, soprattutto con l’auto-selezione attiva.

Sul fronte dell’infrastruttura, il Copilot CLI SDK risolve ora node-pty direttamente da VS Code tramite hostRequire, eliminando la necessità di copiare i binari di node-pty nella cartella prebuilds dell’SDK durante la build o al runtime. Questo semplifica il packaging e riduce i potenziali problemi di compatibilità tra versioni.

Le sessioni nel Copilot CLI SDK usano ora le API session-title del CLI come sorgente di verità per i nomi delle sessioni, garantendo nomi coerenti tra l’interfaccia della chat e il log delle sessioni.

TypeScript 7.0: opt-in alle nightly

Per chi vuole vivere sul filo del rasoio: VS Code 1.118 introduce la possibilità di opt-in alle nightly di TypeScript 7.0. Per abilitarlo è sufficiente modificare l’impostazione typescript.experimental.useTsgo nelle preferenze utente o workspace. Si ricorda che TypeScript 7.0 è basato sul nuovo compilatore riscritto in Go (annunciato con TS 7.0 Beta), che promette velocità circa 10 volte superiori rispetto al compilatore attuale — ma è ancora in fase sperimentale.

Supporto encoding CP857

Aggiunto il supporto per la codifica CP857 (Code Page 857, usata per il turco nella vecchia codifica DOS). Un’aggiunta di nicchia, ma apprezzabile per chi lavora con legacy codebase o file di testo in quel formato.

Accessibility nel terminale

Sono stati introdotti miglioramenti all’accessibilità per il question carousel delle azioni del terminale, garantendo una navigazione più fluida per gli utenti che usano screen reader o altri strumenti assistivi.

Come aggiornare alla build Insiders

Se vuoi testare queste funzionalità prima del rilascio stabile, puoi scaricare la VS Code Insiders build dal sito ufficiale. La versione Insiders si affianca a quella stabile e può essere usata in parallelo.

# Su Linux, tramite snap:
sudo snap install --classic code-insiders

# Su Windows/macOS: scarica l'installer dalla pagina ufficiale


Tieni presente che le funzionalità descritte in queste note riguardano la build Insiders e potrebbero cambiare prima del rilascio stabile del ciclo 1.118.

---

Fonte: Visual Studio Code 1.118 Release Notes — Visual Studio Code Team, aggiornato al 27 aprile 2026.

Download Visual Studio Code Insiders

For early adopters, you can get the latest release of VS Code each day with the Insiders Build. Available on Mac, Linux and Windows.

^{code.visualstudio.com}

(in)sicurezza digitale

2026-04-28 16:42:16

Xu Zewei estradato dall’Italia: il contractor MSS cinese dietro HAFNIUM e Silk Typhoon davanti alla giustizia americana

Un contractor cinese al servizio del Ministero della Sicurezza dello Stato è atterrato ieri a Houston in manette: Xu Zewei, 34 anni, è stato estradato dall’Italia negli Stati Uniti dopo l’arresto avvenuto a Milano nel 2025. L’indictment da nove capi di imputazione lo collega direttamente alla campagna HAFNIUM — ribattezzata Silk Typhoon — che tra il 2020 e il 2021 ha compromesso quasi 13.000 organizzazioni in tutto il mondo, inclusi laboratori di ricerca sul COVID-19 e migliaia di server Microsoft Exchange.

Chi è Xu Zewei e per chi lavorava

Xu Zewei non era un hacker solitario che operava dal suo appartamento: secondo l’accusa del Dipartimento di Giustizia americano, era un operativo contrattualizzato dello Shanghai State Security Bureau (SSSB), la divisione locale del MSS (Ministry of State Security), l’equivalente cinese della CIA. La sua copertura era Shanghai Powerock Network Co., Ltd., una delle decine di società-schermo che Pechino utilizza per mantenere una distanza plausibile dalle operazioni offensive di intelligence.

Il modello operativo è ormai collaudato: il MSS ingaggia hacker freelance o dipendenti di aziende private attraverso contratti formali, garantendo ai contractor protezione istituzionale e compenso economico, mentre lo Stato mantiene la negabilità. Lo stesso schema era già emerso con i gruppi APT40 e APT41, con accuse formali di DOJ risalenti al 2020 e al 2022.

La campagna HAFNIUM: zero-day su Exchange come arma di massa

Il nome HAFNIUM compare per la prima volta nei report Microsoft nel marzo 2021, quando l’azienda di Redmond divulga quattro vulnerabilità zero-day in Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) già sfruttate attivamente in natura. La catena di exploit, denominata ProxyLogon, consente a un attaccante remoto non autenticato di prendere il controllo completo di un server Exchange vulnerabile esposto su Internet.

La finestra tra la divulgazione e il patching di massa fu devastante: in pochi giorni, i threat actor legati a HAFNIUM scaricarono web shell su decine di migliaia di server in tutto il mondo. Le web shell — tipicamente file ASPX nascosti in directory come /aspnet_client/ — garantivano accesso persistente e permettevano di:

• Accedere alle caselle di posta elettronica degli utenti senza autenticazione
• Muoversi lateralmente all’interno della rete bersaglio
• Esfiltrare intere cartelle di e-mail, credenziali e documenti interni
• Installare ulteriori impianti malware per la persistenza a lungo termine

Il furto della ricerca sul COVID-19

Uno degli aspetti più inquietanti dell’indictment riguarda il targeting specifico di organizzazioni impegnate nella ricerca contro il COVID-19. Secondo i pubblici ministeri, Xu e i suoi co-cospiratori hanno attaccato istituti di ricerca, università e aziende farmaceutiche con l’obiettivo esplicito di sottrarre dati su vaccini, trattamenti e protocolli diagnostici. Le operazioni si collocano tra febbraio 2020 — quando il virus inizia a diffondersi globalmente — e giugno 2021, coprendo l’intero arco della corsa mondiale al vaccino.

L’FBI aveva avvisato già nel maggio 2020 che attori legati alla Cina stavano tentando di rubare proprietà intellettuale sulla ricerca pandemica, ma l’entità della campagna è emersa solo con le indagini successive. La sovrapposizione temporale tra la crisi sanitaria e le operazioni di spionaggio informatico solleva interrogativi scomodi sul ruolo dell’intelligence cinese nel tentativo di acquisire un vantaggio tecnologico e strategico durante la pandemia.

Il ruolo dell’Italia e l’estradizione

L’arresto di Xu Zewei a Milano nel 2025 rappresenta uno dei casi più significativi di cooperazione giudiziaria italo-americana in ambito cybercrime. L’Italia non è nuova a questo tipo di operazioni: negli anni ha collaborato con Washington per l’estradizione di figure legate al crimine informatico organizzato, ma un caso di hacking state-sponsored cinese di questa portata è inedito. L’estradizione, completata il 26 aprile 2026, pone l’imputato davanti alla corte federale di Houston per rispondere a un’accusa in nove capi.

La reazione di Pechino è stata prevedibile: il portavoce del Ministero degli Esteri ha definito le accuse “fabricate” e “pura finzione politica”, ribadendo la posizione di principio secondo cui la Cina “si oppone fermamente a qualsiasi forma di attività hacker”. Una narrativa difficile da sostenere di fronte a un indictment dettagliato che menziona infrastrutture, tool e vittime specifiche.

Da HAFNIUM a Silk Typhoon: l’evoluzione del gruppo

Microsoft ha ribattezzato HAFNIUM come Silk Typhoon nell’ambito del nuovo schema tassonomico che assegna nomi di fenomeni atmosferici agli attori state-sponsored. Il gruppo ha continuato ad operare dopo il 2021, espandendo il target set a infrastrutture governative, difesa, think tank e provider di servizi IT. Il pattern operativo rimane coerente: sfruttamento rapido di vulnerabilità zero-day o N-day in prodotti edge (VPN, firewall, server di posta) per ottenere accesso iniziale, seguito da movimenti laterali silenziosi e esfiltrazione prolungata.

Indicatori di compromissione (campagna HAFNIUM/ProxyLogon)

# CVE sfruttate nella campagna ProxyLogon
CVE-2021-26855  # SSRF pre-auth su Exchange (porta 443)
CVE-2021-26857  # Deserializzazione insicura su Unified Messaging
CVE-2021-26858  # Scrittura arbitraria post-auth su Exchange
CVE-2021-27065  # Scrittura arbitraria post-auth su Exchange

# Percorsi tipici delle web shell depositate
/aspnet_client/
/aspnet_client/system_web/
/owa/auth/
/ecp/auth/

# User-Agent noti usati da HAFNIUM
ExchangeServicesClient/0.0.0.0
python-requests/2.25.1

# Hash SHA-256 di web shell documentate
811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d

Implicazioni e raccomandazioni per i difensori

Il caso Xu Zewei riafferma un principio fondamentale nella difesa contro gli APT state-sponsored: la deterrenza giuridica, per quanto lenta, funziona come segnale. Ogni indictment pubblicato dal DOJ erode la narrazione di impunità che alimenta la proliferazione dei contractor hacker. Per i team di sicurezza, le lezioni operative sono chiare:

• Patch velocity sugli asset perimetrali: la finestra tra divulgazione CVE e compromissione attiva si è ridotta a ore. I server Exchange, i dispositivi VPN e i firewall esposti su Internet devono essere patchati entro 24-48 ore da ogni advisory critico.
• Hunting proattivo per web shell: strumenti come Microsoft Safety Scanner, MSERT e le regole YARA pubblicate da CISA permettono di rilevare web shell note anche dopo settimane di compromissione silente.
• Monitoraggio dell’esfiltrazione DNS e HTTPS: i gruppi cinesi tendono a usare canali legittimi per il C2 (cloud storage, servizi di posta). Il behavioral analytics sul traffico outbound è più affidabile delle signature statiche.
• Segmentazione degli ambienti di ricerca sensibili: laboratori R&D, dati clinici e proprietà intellettuale vanno isolati in segmenti con controlli di accesso stringenti e logging pervasivo.

Il caso è anche un promemoria del valore delle partnership internazionali: senza la cooperazione dell’Italia, Xu Zewei sarebbe probabilmente ancora libero. La caccia ai contractor MSS non si ferma qui.

Spcnet.it

2026-04-28 10:22:24

AI locale in un’estensione Chrome con Transformers.js e Manifest V3: architettura pratica

Hugging Face ha pubblicato una guida dettagliata su come costruire un’estensione Chrome che esegue modelli AI direttamente nel browser, senza server esterni, usando Transformers.js e Manifest V3 (MV3). Il progetto di riferimento è una browser assistant basata su Gemma 4 E2B, open source e già disponibile sul Chrome Web Store. Vediamo in dettaglio l’architettura e le scelte tecniche che rendono fattibile questo approccio.

Perché AI locale in un’estensione?

L’inferenza locale porta vantaggi concreti: nessun dato dell’utente inviato a server esterni, latenza ridotta dopo il download iniziale del modello, funzionamento offline. Il limite storico era la complessità di integrare modelli ONNX direttamente in un’estensione browser. Transformers.js risolve questo problema esponendo un’API familiare (ispirata alla libreria Python di HuggingFace) che gira interamente nel browser tramite WebAssembly e WebGPU.

Architettura MV3: tre contesti, tre ruoli

Manifest V3 impone un’architettura a contesti separati, ognuno con accesso e ciclo di vita differenti. Il progetto usa tre entry point distinti:

• Background service worker (background.ts): il piano di controllo. Gestisce il ciclo di vita dell’agente, l’inizializzazione dei modelli, l’esecuzione dei tool e i servizi condivisi come feature extraction. I modelli Transformers.js vengono caricati e mantenuti qui.
• Side panel (sidebar/): il layer di interazione con l’utente. Chat input/output, streaming degli aggiornamenti, controlli di setup.
• Content script (content.ts): il bridge con la pagina web. Estrae contenuto dal DOM e gestisce l’evidenziazione di elementi.

La regola di design è chiara: orchestrazione pesante nel background, UI e logica di pagina leggeri. Questo evita di caricare il modello più volte, mantiene l’interfaccia reattiva e rispetta i confini di sicurezza di Chrome.

Contratto di messaggistica tipato

Con contesti separati, la comunicazione avviene tramite messaggi. Il progetto li tipizza con enum in src/shared/types.ts:

// Side panel verso background
enum BackgroundTasks {
  CHECK_MODELS,
  INITIALIZE_MODELS,
  AGENT_GENERATE_TEXT,
  AGENT_GET_MESSAGES,
  AGENT_CLEAR,
  EXTRACT_FEATURES
}

// Background verso side panel
enum BackgroundMessages {
  DOWNLOAD_PROGRESS,
  MESSAGES_UPDATE
}

// Background verso content script
enum ContentTasks {
  EXTRACT_PAGE_DATA,
  HIGHLIGHT_ELEMENTS,
  CLEAR_HIGHLIGHTS
}

Il flusso tipico è: la side panel invia AGENT_GENERATE_TEXT, il background aggiunge il messaggio alla conversazione, esegue l’inferenza, poi emette MESSAGES_UPDATE alla side panel che ri-renderizza.

Integrazione di Transformers.js: dove gira l’inferenza

L’estensione usa due modelli con ruoli distinti, definiti in src/shared/constants.ts:

• Text generation (LLM): onnx-community/gemma-4-E2B-it-ONNX, formato q4f16 – responsabile delle risposte chat e dell’esecuzione dell’agente.
• Feature extraction (embedding): un modello separato per estrarre vettori da testi di pagina, usato per operazioni semantiche.

Entrambi i modelli vengono inizializzati e cachati nel background service worker. Il download avviene al primo avvio e i pesi rimangono nella cache del browser (via Cache API), così le sessioni successive partono istantaneamente. Il progresso del download viene trasmesso alla side panel tramite l’evento DOWNLOAD_PROGRESS.

Agent loop e tool calling

L’estensione implementa un loop agente completo. La classe Agent gestisce la cronologia dei messaggi e il ciclo di ragionamento:

// Flusso semplificato di Agent.runAgent
while (true) {
  const response = await model.generate(chatMessages);

  if (response.hasToolCall) {
    const toolResult = await executeTool(response.toolCall);
    chatMessages.push({ role: "tool", content: toolResult });
  } else {
    // Risposta finale
    break;
  }
}

I tool disponibili includono EXTRACT_PAGE_DATA (estrae il testo dalla pagina corrente via content script) e HIGHLIGHT_ELEMENTS (evidenzia elementi nel DOM). L’interfaccia dei tool è definita con schema JSON per permettere al modello di invocarli correttamente.

Build e packaging: Vite e MV3

Il progetto usa Vite per il build, con configurazione custom per generare entry point separati per background, side panel e content script. I modelli ONNX non sono inclusi nel bundle dell’estensione (sarebbero troppo grandi), ma vengono scaricati da Hugging Face Hub al primo avvio.

Un dettaglio pratico importante: i service worker MV3 possono essere terminati dal browser in qualsiasi momento quando inattivi. Bisogna gestire la persistenza dello stato (conversazione, modelli inizializzati) in modo da riprendere correttamente al risveglio del worker. Il progetto usa chrome.storage.session per lo stato effimero e chrome.storage.local per i dati persistenti tra sessioni.

Considerazioni pratiche prima di adottare questo approccio

Prima di replicare questa architettura in un progetto reale, vale la pena considerare alcune limitazioni:

• Dimensione modello: Gemma 4 E2B in q4f16 pesa diversi gigabyte. Il download iniziale richiede una connessione affidabile e spazio disco significativo nel profilo Chrome.
• Compatibilità hardware: le prestazioni variano molto tra macchine. Su hardware senza GPU decente, l’inferenza può essere lenta anche con quantizzazione aggressiva.
• Ciclo di vita service worker: Chrome può terminare il background worker dopo 5 minuti di inattività. Gestire il riavvio e la reinizializzazione del modello è parte non banale dell’implementazione.
• Review del Chrome Web Store: le estensioni con funzionalità AI vengono esaminate più attentamente; documentare chiaramente cosa fa il modello e dove girano i dati accelera il processo di approvazione.

Conclusione

L’architettura descritta da HuggingFace è solida e dimostra che eseguire AI locale in un’estensione Chrome è fattibile oggi con Transformers.js. Il codice sorgente dell’estensione Gemma 4 Browser Assistant è disponibile su GitHub come riferimento completo, con implementazione reale di tool calling, streaming e gestione del ciclo di vita MV3. Per chi vuole portare funzionalità AI nelle proprie estensioni senza dipendere da API esterne, questo progetto è un ottimo punto di partenza.

---

Fonte: How to Use Transformers.js in a Chrome Extension – Hugging Face Blog, 23 aprile 2026

How to Use Transformers.js in a Chrome Extension

We’re on a journey to advance and democratize artificial intelligence through open source and open science.

^{Nico Martin (Hugging Face)}