I ricercatori di Cato Networks hanno scoperto un nuovo tipo di attacco ai browser basati su intelligenza artificiale chiamato HashJack. I ricercatori hanno utilizzato il simbolo “#” negli URL per iniettare comandi nascosti, eseguiti dagli assistenti AI dei browser, aggirando tutte le tradizionali misure di sicurezza.

L’attacco HashJack sfrutta il fatto che le parti di un URL dopo il carattere “#” non lasciano mai il browser né raggiungono il server.

Gli aggressori possono aggiungere il carattere “#” alla fine di un URL legittimo e quindi inserire prompt dannosi. Di conseguenza, quando un utente interagisce con una pagina tramite un assistente di intelligenza artificiale integrato (come Copilot in Edge, Gemini in Chrome o il browser Comet di Perplexity), queste istruzioni nascoste vengono elaborate dal modello linguistico ed eseguite come istruzioni legittime.

Gli esperti definiscono questo attacco “la prima iniezione indiretta di prompt in grado di trasformare qualsiasi sito web legittimo in un vettore di attacco”.

Durante i test, i ricercatori hanno dimostrato diversi scenari di sfruttamento per HashJack. Ad esempio, i browser AI con funzionalità basate su agenti (come Comet) possono essere indotti con l’inganno a trasmettere i dati degli utenti a server controllati dagli aggressori. Altri assistenti AI possono essere indotti con l’inganno a visualizzare link di phishing o istruzioni fuorvianti.

Le conseguenze di tali attacchi includono il furto di dati, il phishing, la diffusione di informazioni errate e possono persino danneggiare la salute dell’utente (ad esempio, se l’intelligenza artificiale fornisce raccomandazioni errate sul dosaggio dei farmaci).

“Questo è particolarmente pericoloso perché il tasso di successo è molto più alto rispetto al phishing tradizionale. Gli utenti visualizzano un sito web familiare e si fidano ciecamente delle risposte dell’assistente AI”, spiega Vitaly Simonovich, ricercatore di Cato Networks.

I ricercatori hanno informato gli sviluppatori di Perplexity della loro scoperta a luglio, e Google e Microsoft hanno fatto lo stesso ad agosto. Le reazioni sono state contrastanti: Google ha classificato il problema come “comportamento previsto”, ha assegnato un livello di gravità basso e si è rifiutata di implementare una correzione, mentre Microsoft e Perplexity hanno rilasciato patch per i loro browser.

I rappresentanti di Microsoft hanno sottolineato che l’azienda considera la protezione contro le iniezioni indirette di prompt un “processo continuo” e indaga a fondo su ogni nuova variante di tali attacchi.

Nel loro rapporto, i ricercatori sottolineano che i metodi di difesa tradizionali sono impotenti contro gli attacchi HashJack. Pertanto, affrontare tali problemi richiede difese multilivello, tra cui la gestione e il controllo dell’uso di strumenti di intelligenza artificiale, il blocco di frammenti di URL sospetti sul lato client, la limitazione dell’elenco degli assistenti di intelligenza artificiale consentiti e il monitoraggio attento dell’attività dei browser con funzionalità di intelligenza artificiale.

Infatti, le organizzazioni ora devono analizzare non solo i siti web stessi, ma anche la combinazione “browser + assistente AI” che elabora il contesto nascosto.

L'articolo Arriva HashJack: basta un “#” e i browser AI iniziano a vaneggiare proviene da Red Hot Cyber.