Безобидная «решетка» стала оружием. HashJack ломает защиту Copilot и Gemini

Cato Networks объявила о новой технике атаки под названием HashJack, которая прячет вредоносные подсказки для ИИ за символом «#» в легитимных URL и заставляет ИИ-браузеры выполнять их, оставаясь невидимой для традиционных средств защиты. Фактически любая привычная пользователю ссылка на известный сайт может превратиться в инструмент управления ИИ-ассистентом прямо в браузере.

В основе HashJack лежит классическая идея prompt injection — ситуации, когда текст, который сам пользователь не вводил, превращается в команды для бота на базе ИИ. Обычно выделяют два типа таких атак: прямые, когда вредоносная команда попадает прямо в поле ввода, и непрямые, когда скрытые инструкции прячутся в контенте страниц, PDF или других данных, которые ИИ должен проанализировать. ИИ-браузеры, новая волна продуктов, пытающихся «понять намерение пользователя» и автоматически выполнять действия, уже не раз показывали уязвимость к непрямым "инъекциям подсказок" (indirect prompt-injection): стремясь быть полезными, они порой начинают помогать не пользователю, а злоумышленнику.

Cato описывает HashJack как «первую известную непрямую prompt injection-атаку, которая позволяет превратить любой легитимный сайт в оружие против ИИ-браузерных ассистентов». Прием строится на манипуляции с фрагментом URL — частью после символа «#». Именно там атакующий прячет инструкции для ИИ, а уже ИИ-ассистент в браузере, вроде Copilot в Edge, Gemini в Chrome или Comet от Perplexity AI, использует эти фрагменты как часть контекста для запроса к модели.

Ключевой момент в том, что фрагмент URL никогда не покидает браузер: он не отправляется на сервер сайта и не попадает в традиционные системы мониторинга трафика. Для сетевых и серверных средств защиты такой трафик выглядит совершенно легитимным, а вот ИИ-ассистент видит полный URL и «подхватывает» скрытые после «#» команды. В результате привычный пользователю сайт превращается в вектор атаки, хотя сам ресурс может ни о чем не подозревать.

Технически атака выглядит максимально безобидно: к обычной ссылке добавляется символ «#», который не меняет целевой адрес, а затем — текст вредоносных инструкций. Пользователь кликает по знакомому домену, открывает страницу и обращается к ИИ-ассистенту за помощью — например, «объясни эту статью» или «подведи итог». В этот момент скрытый фрагмент URL подмешивается в запрос к модели и может привести к последствиям вроде утечки данных, фишинга, распространения дезинформации, подсказок по созданию вредоносного ПО или даже потенциального вреда здоровью — если, например, ассистент даст неверные рекомендации по дозировке лекарств.

«Это открытие особенно опасно тем, что превращает легитимные сайты в оружие через их URL. Пользователи видят доверенный ресурс, доверяют своему ИИ-браузеру и, как следствие, доверяют ответу ассистента — вероятность успешной атаки здесь намного выше, чем при классическом фишинге», — отмечает исследователь Cato Networks Виталий Симонович. По сути, HashJack играет на доверии к брендам и ИИ-инструментам, маскируясь под нормальный сценарий использования ассистента.

В ходе тестов исследовательское подразделение Cato CTRL показало, что «агентные» ИИ-браузеры с возможностью выполнять действия, такие как Comet, можно заставить отправлять данные пользователя на подконтрольные злоумышленникам серверы. Более «пассивные» ассистенты, которые в основном показывают ответы и ссылки, тоже оказываются уязвимы: они могут выводить вводящие в заблуждение инструкции, подсовывать фишинговые URL или рекомендации, работающие в интересах атакующего. От классических «прямых» prompt injection этот сценарий отличается тем, что пользователь уверен: он взаимодействует только с доверенным сайтом, а о скрытых фрагментах и фоновых запросах даже не подозревает.

По данным Cato, о HashJack были уведомлены Google и Microsoft в августе, а Perplexity — еще в июле. Реакция платформ оказалась разной: Google классифицировала проблему как «won't fix (задуманное поведение)» и низкой степени серьезности, тогда как Perplexity и Microsoft внедрили исправления в своих ИИ-браузерах. Microsoft в комментарии подчеркнула, что защита от непрямых prompt injection — это «не просто технический вызов, а постоянное обязательство по защите пользователей в быстро меняющемся цифровом мире», и заверила, что каждая новая вариация таких атак рассматривается как отдельный сценарий, требующий тщательного анализа.

Выводы Cato сводятся к тому, что полагаться только на сетевые логи и серверную фильтрацию URL больше нельзя. Защита должна становиться многослойной: компании призывают внедрять политику AI-governance, блокировать подозрительные фрагменты в ссылках, ограничивать набор разрешенных ИИ-ассистентов и усиливать мониторинг на стороне клиента. Иными словами, смотреть нужно уже не только на то, какой сайт открывает пользователь, но и на то, как связка «браузер + ИИ-ассистент» обрабатывает скрытый контекст.

По мере того как ИИ-браузеры выходят из ниши энтузиастов в массовое использование, HashJack сигнализирует о новом классе угроз. То, что раньше ассоциировалось в основном с уязвимостями на сервере или фишинговыми страницами, теперь может жить прямо внутри привычного интерфейса браузера — в строке адреса и всплывающем окне ассистента. И чем больше мы будем перекладывать рутину в руки ИИ, тем привлекательнее подобные техники станут для атакующих.