Учёные из Cato Networks обнаружили, что фрагменты URL-адреса, начинающиеся с символа «#», могут содержать скрытые команды, которые выполняются ИИ-помощниками в браузере без ведома пользователя. Эта техника, получившая название "HashJack", позволяет злоумышленникам незаметно манипулировать поведением ИИ-ассистента, например, заставляя его отправлять данные на внешние серверы или показывать пользователю поддельные ссылки.

Суть атаки заключается в том, что ИИ-помощник обрабатывает текст после хеш-тега локально, не отправляя его на сервер. Таким образом, пользователь видит обычную веб-страницу, а браузер выполняет скрытые инструкции.

В ходе тестирования выяснилось, что некоторые ИИ-помощники при обнаружении таких фрагментов URL пытаются выполнить автономные действия, в том числе передавать данные на внешние ресурсы, контролируемые злоумышленниками. Другие показывают вводящие в заблуждение подсказки или предлагают ссылки, имитирующие надёжные источники, создавая видимость нормальной работы, но при этом изменяя информацию, предоставляемую пользователю. Сам браузер продолжает отображать правильный сайт, что затрудняет обнаружение вторжения без тщательной проверки ответов ИИ-помощника.

Крупные технологические компании были уведомлены о проблеме.

Обычные инструменты мониторинга трафика могут отслеживать только те фрагменты URL, которые отправляются с устройств на сервера. В связи с этим традиционные меры безопасности оказываются неэффективными. Это заставляет специалистов по безопасности переходить от анализа сетевого трафика к изучению того, как ИИ-инструменты интегрируются с самим браузером. Более строгий контроль требует внимания к локальному поведению, включая то, как ИИ-помощники обрабатывают скрытый контекст, невидимый для пользователей.

Метод "HashJack" демонстрирует уникальную уязвимость, присущую ИИ-браузерам, когда легитимные веб-сайты могут быть использованы в злонамеренных целях, не оставляя при этом традиционных следов.