- Автор темы
- #1
Исследователи из компании Cato Networks обнаружили новый тип атаки на ИИ-браузеры под названием HashJack. Специалисты использовали символ «#» в URL для внедрения скрытых команд, которые выполняются ИИ-ассистентами браузеров, обходя все традиционные средства защиты.
Атака HashJack эксплуатирует тот факт, что части адреса после символа «#» никогда не покидают браузер и не передаются на сервер. Атакующие могут добавить символ «#» в конец легитимного URL, а после него разместить вредоносные промпты для ИИ. В результате, когда пользователь взаимодействует со страницей через встроенного ИИ-ассистента (например, Copilot в Edge, Gemini в Chrome или использует браузер Comet от Perplexity), эти скрытые инструкции обрабатываются языковой моделью и выполняются как легитимные.
Эксперты называют эту атаку «первой известной опосредованной инъекцией промптов, способной превратить любой легитимный сайт в вектор атаки».
В ходе своих тестов исследователи продемонстрировали несколько сценариев эксплуатации HashJack. Напрмиер, ИИ-браузеры с агентными возможностями (такие как Comet) можно вынудить передавать пользовательские данные на контролируемые злоумышленниками серверы. Других ИИ-ассистентов можно обмануть, чтобы они показывали фишинговые ссылки или вводящие в заблуждение инструкции.
Последствия таких атак включают кражу данных, фишинг, распространение дезинформации и даже могут нанести вред здоровью пользователя (например, если ИИ предоставит неправильные рекомендации по дозировке лекарств).
Представители Microsoft отметили, что компания рассматривает защиту от опосредованных промпт-инжектов как «непрерывный процесс» и тщательно исследует каждый новый вариант таких атак.
В своем отчете исследователи подчеркивают, что традиционные методы защиты бессильны против атак HashJack. Поэтому исправление подобных проблем требует многоуровневой защиты, которая предполагает управление и контроль за использованием ИИ-инструментов, блокировку подозрительных URL-фрагментов на стороне клиента, ограничение списка разрешенных ИИ-ассистентов, а также тщательный мониторинг активности браузеров с ИИ-функциями.
Фактически теперь организациям нужно анализировать не только сами сайты, но и связку «браузер + ИИ-ассистент», которая обрабатывает скрытый контекст.
Атака HashJack эксплуатирует тот факт, что части адреса после символа «#» никогда не покидают браузер и не передаются на сервер. Атакующие могут добавить символ «#» в конец легитимного URL, а после него разместить вредоносные промпты для ИИ. В результате, когда пользователь взаимодействует со страницей через встроенного ИИ-ассистента (например, Copilot в Edge, Gemini в Chrome или использует браузер Comet от Perplexity), эти скрытые инструкции обрабатываются языковой моделью и выполняются как легитимные.
Эксперты называют эту атаку «первой известной опосредованной инъекцией промптов, способной превратить любой легитимный сайт в вектор атаки».
В ходе своих тестов исследователи продемонстрировали несколько сценариев эксплуатации HashJack. Напрмиер, ИИ-браузеры с агентными возможностями (такие как Comet) можно вынудить передавать пользовательские данные на контролируемые злоумышленниками серверы. Других ИИ-ассистентов можно обмануть, чтобы они показывали фишинговые ссылки или вводящие в заблуждение инструкции.
Последствия таких атак включают кражу данных, фишинг, распространение дезинформации и даже могут нанести вред здоровью пользователя (например, если ИИ предоставит неправильные рекомендации по дозировке лекарств).
Специалисты уведомили о своей находке разработчиков Perplexity еще в июле, а Google и Microsoft — в августе. Реакция оказалась разной: в Google классифицировали проблему как «ожидаемое поведение», присвоили уязвимости низкую степень серьезности и отказались что-либо исправлять, тогда как Microsoft и Perplexity выпустили патчи для своих браузеров.
Представители Microsoft отметили, что компания рассматривает защиту от опосредованных промпт-инжектов как «непрерывный процесс» и тщательно исследует каждый новый вариант таких атак.
В своем отчете исследователи подчеркивают, что традиционные методы защиты бессильны против атак HashJack. Поэтому исправление подобных проблем требует многоуровневой защиты, которая предполагает управление и контроль за использованием ИИ-инструментов, блокировку подозрительных URL-фрагментов на стороне клиента, ограничение списка разрешенных ИИ-ассистентов, а также тщательный мониторинг активности браузеров с ИИ-функциями.
Фактически теперь организациям нужно анализировать не только сами сайты, но и связку «браузер + ИИ-ассистент», которая обрабатывает скрытый контекст.