Pesquisadores de segurança da Cato Networks identificaram uma nova técnica de injeção de prompt indireto denominada HashJack, que permite forçar navegadores e assistentes de IA populares a entregar links de phishing, desinformação sobre dosagens de medicamentos ou conselhos de investimento, enviar dados sensíveis a atacantes ou induzir usuários a realizar ações de risco. A técnica recebe esse nome porque se baseia em instruções maliciosas ocultas no fragmento de URL (a parte após o símbolo "#") que aponta para um site legítimo e aparentemente inofensivo.

O ataque funciona quando uma URL especialmente criada é compartilhada por email, mídias sociais ou incorporada em páginas web. Após a vítima carregar a página e fazer qualquer pergunta ao navegador de IA ou assistente, o sistema incorpora as instruções fragmentadas em sua resposta, adicionando links clicáveis, fornecendo passos supostamente úteis ou, em modos agênticos, realizando requisições em segundo plano. As instruções maliciosas podem ser ofuscadas para evitar suspeitas, mesmo para usuários que verificam links antes de clicar.

Os pesquisadores testaram a técnica contra os navegadores Comet da Perplexity e Atlas da OpenAI, além dos assistentes Copilot for Edge da Microsoft, Gemini for Chrome do Google e Claude for Chrome. O HashJack não funcionou no Claude for Chrome e no Atlas, mas foi efetivo nos demais três sistemas testados. A vulnerabilidade existe porque navegadores e assistentes de IA possuem acesso privilegiado ao estado da página, transformando qualquer contexto não verificado passado ao assistente em um vetor potencial de ameaça. Em navegadores agênticos como o Comet, o ataque pode escalar ainda mais, com o assistente enviando automaticamente dados inseridos pelo usuário em páginas web para endpoints controlados por atacantes.

Após a divulgação responsável dos achados pela Cato Networks ao Google, Microsoft e Perplexity, as duas últimas empresas criaram e implementaram correções. As soluções foram incluídas no Comet v142.0.7444.60 com Perplexity build 28106 e no Edge v142.0.3595.94 com Copilot. O Google classificou o HashJack como "comportamento pretendido", alegando não tratar controle de saída de modelo, respostas enganosas ou instruções prejudiciais como vulnerabilidades de segurança, descrevendo o efeito como engenharia social em vez de quebra de limite de segurança. A exploração generalizada dessa falha é improvável, uma vez que o HashJack é um processo de múltiplas etapas que depende da interação dos usuários com o assistente de navegador de IA, e não apenas de um clique simples em link.

Este post foi traduzido e resumido a partir de sua versão original com o uso de IA, com revisão humana.

Com informações de Help Net Security