- Исследователи из Cato Networks выявили новую атаку HashJack, использующую символ «#» в URL для внедрения скрытых команд, обманывающих ИИ-браузеры.
- Атака позволяет обходить традиционные методы защиты, превращая любые сайты в инструменты манипуляции ИИ-ассистентами, способными передавать данные злоумышленникам.
- Google признала проблему низкосерьёзной, а Microsoft и Perplexity AI уже выпустили обновления с исправлениями, при этом специалисты рекомендуют комплексный подход к безопасности.
Специалисты компании Cato Networks обнаружили неизвестный ранее вид уязвимости, направленный на искусственно-интеллектуальные браузеры и расширения с ИИ-ассистентами. Особенность атаки, названной HashJack, заключается в использовании части URL-адреса, следующей после символа «#» (решётка). Этот фрагмент не отправляется на сервер, но оказывается доступным для ИИ-помощников, которые обрабатывают и выполняют содержащиеся там скрытые команды без ведома пользователя.
Суть метода — дописать к валидному адресу URL дополнительный фрагмент после «#», включающий скрытые инструкции (промты) для ИИ-ассистента. При обращении пользователя к таким инструментам, как Copilot, Gemini или Comet от Perplexity AI, языковая модель интерпретирует данные фрагменты как легитимные команды и выполняет их. Такой подход обходит традиционные средства защиты, поскольку они обычно не анализируют часть URL после решётки.
Эксперты отмечают, что HashJack — это первая зафиксированная разновидность так называемой «опосредованной инъекции промптов», которая позволяет злоумышленникам эксплуатировать любой посещённый сайт в качестве платформы для атак. В зависимости от уровня автономности ИИ-ассистента, последствия варьируются: от простой выдачи ошибочной или вредоносной информации до отправки персональных данных на сервера злоумышленников без явного согласия пользователя.
Cato Networks совместно с разработчиками провела уведомительную работу: летом 2025 года сообщение об уязвимости получили производители affected решений. В частности, в июле о проблеме стала известна Perplexity AI, а вскоре — Google и Microsoft. В официальных ответах Google классифицировала уязвимость как часть стандартного поведения браузеров с низким уровнем риска, в то время как Microsoft и Perplexity оперативно внедрили исправления, блокирующие возможность исполнения скрытых команд.
Данная атака подчеркивает необходимость пересмотра подходов к обеспечению безопасности в интернете, особенно в контексте растущего внедрения возможностей искусственного интеллекта в браузеры. Традиционные меры контроля, основанные на анализе серверных запросов и фильтрации URL, недостаточны, поскольку атака происходит локально на клиентской стороне и не оставляет следов в серверных логах.
По мнению исследователей из Cato Networks, для обеспечения полноценной защиты следует внедрять комплексные стратегии, включающие мониторинг активности на стороне клиента, анализ поведения ИИ-ассистентов и внимательный контроль всех элементов URL, включая скрытые после «#» фрагменты. Такой подход позволит выявлять и блокировать подобные скрытые инструкции, минимизируя риски несанкционированного доступа и утечки конфиденциальной информации.
