Исследователи Cato Networks представили подробности о новой технике атаки под названием HashJack.
Она позволяет злоумышленникам использовать обычные, полностью легитимные сайты для скрытого управления действиями ИИ-браузеров и ассистентов. Атака относится к классу непрямых prompt-инъекций.
Суть метода в том, что вредоносные инструкции прячут в фрагменте URL - в части после символа «#». Этот фрагмент не передаётся серверу и обрабатывается только на стороне клиента. Когда ИИ-браузер или ассистент загружает страницу и автоматически анализирует содержание, он воспринимает скрытые инструкции как запрос от пользователя и начинает их выполнять.
Опасность HashJack в том, что злоумышленнику не нужно взламывать сайт. Достаточно добавить хэш-фрагмент к обычной ссылке, и любой уважаемый ресурс может невольно стать частью атаки. Такой подход позволяет незаметно запускать фишинговые сценарии, подменять ответы ИИ, перенаправлять пользователя на вредоносные ресурсы, инициировать кражу данных или даже подталкивать к установке вредоносного ПО.
Отмечается, что уязвимы практически все популярные AI-браузеры и ассистенты, в том числе Comet, решения на базе Copilot в Edge и инструменты Gemini в Chrome. Ни фильтры сетевого уровня, ни системы веб-защиты не видят вредоносного содержимого, так как URL-фрагменты по определению не отправляются на сервер.
Появление HashJack демонстрирует новую область атак, характерную именно для эпохи ИИ-инструментов. Компании и пользователи должны учитывать риск скрытых инъекций в URL и принимать меры предосторожности: от анализа фрагментов ссылок до ограничения автоматических действий ассистентов без прямого подтверждения.
Источник
Она позволяет злоумышленникам использовать обычные, полностью легитимные сайты для скрытого управления действиями ИИ-браузеров и ассистентов. Атака относится к классу непрямых prompt-инъекций.
Суть метода в том, что вредоносные инструкции прячут в фрагменте URL - в части после символа «#». Этот фрагмент не передаётся серверу и обрабатывается только на стороне клиента. Когда ИИ-браузер или ассистент загружает страницу и автоматически анализирует содержание, он воспринимает скрытые инструкции как запрос от пользователя и начинает их выполнять.
Опасность HashJack в том, что злоумышленнику не нужно взламывать сайт. Достаточно добавить хэш-фрагмент к обычной ссылке, и любой уважаемый ресурс может невольно стать частью атаки. Такой подход позволяет незаметно запускать фишинговые сценарии, подменять ответы ИИ, перенаправлять пользователя на вредоносные ресурсы, инициировать кражу данных или даже подталкивать к установке вредоносного ПО.
Отмечается, что уязвимы практически все популярные AI-браузеры и ассистенты, в том числе Comet, решения на базе Copilot в Edge и инструменты Gemini в Chrome. Ни фильтры сетевого уровня, ни системы веб-защиты не видят вредоносного содержимого, так как URL-фрагменты по определению не отправляются на сервер.
Появление HashJack демонстрирует новую область атак, характерную именно для эпохи ИИ-инструментов. Компании и пользователи должны учитывать риск скрытых инъекций в URL и принимать меры предосторожности: от анализа фрагментов ссылок до ограничения автоматических действий ассистентов без прямого подтверждения.
Источник
