Исследователи из компании Cato Networks обнаружили новый тип атаки на ИИ-браузеры под названием HashJack. Специалисты использовали символ «#» в URL для внедрения скрытых команд, которые выполняются ИИ-ассистентами браузеров, обходя все традиционные средства защиты.
Атака HashJack эксплуатирует тот факт, что части адреса после символа «#» никогда не покидают браузер и не передаются на сервер. Атакующие могут добавить символ «#» в конец легитимного URL, а после него разместить вредоносные промпты для ИИ. В результате, когда пользователь взаимодействует со страницей через встроенного ИИ-ассистента (например, Copilot в Edge, Gemini в Chrome или использует браузер Comet от Perplexity), эти скрытые инструкции обрабатываются языковой моделью и выполняются как легитимные.
Эксперты называют эту атаку «первой известной опосредованной инъекцией промптов, способной превратить любой легитимный сайт в вектор атаки».
В ходе своих тестов исследователи продемонстрировали несколько сценариев эксплуатации HashJack. Напрмиер, ИИ-браузеры с агентными возможностями (такие как Comet) можно вынудить передавать пользовательские данные на контролируемые злоумышленниками серверы. Других ИИ-ассистентов можно обмануть, чтобы они показывали фишинговые ссылки или вводящие в заблуждение инструкции.
Последствия таких атак включают кражу данных, фишинг, распространение дезинформации и даже могут нанести вред здоровью пользователя (например, если ИИ предоставит неправильные рекомендации по дозировке лекарств).
«Это особенно опасно, потому что вероятность успеха гораздо выше, чем при традиционном фишинге. Пользователи видят знакомый сайт и полностью доверяют ответам ИИ-ассистента», — объясняет исследователь Cato Networks Виталий Симонович.
Специалисты уведомили о своей находке разработчиков Perplexity еще в июле, а Google и Microsoft — в августе. Реакция оказалась разной: в Google классифицировали проблему как «ожидаемое поведение», присвоили уязвимости низкую степень серьезности и отказались что-либо исправлять, тогда как Microsoft и Perplexity выпустили патчи для своих браузеров.
Представители Microsoft отметили, что компания рассматривает защиту от опосредованных промпт-инжектов как «непрерывный процесс» и тщательно исследует каждый новый вариант таких атак.
В своем отчете исследователи подчеркивают, что традиционные методы защиты бессильны против атак HashJack. Поэтому исправление подобных проблем требует многоуровневой защиты, которая предполагает управление и контроль за использованием ИИ-инструментов, блокировку подозрительных URL-фрагментов на стороне клиента, ограничение списка разрешенных ИИ-ассистентов, а также тщательный мониторинг активности браузеров с ИИ-функциями.
Фактически теперь организациям нужно анализировать не только сами сайты, но и связку «браузер + ИИ-ассистент», которая обрабатывает скрытый контекст.
