Investigadores de seguridad de Cato Networks identificaron una nueva técnica de inyección de prompt indirecto denominada HashJack, que permite forzar navegadores y asistentes de IA populares a entregar enlaces de phishing, desinformación sobre dosificaciones de medicamentos o consejos de inversión, enviar datos sensibles a atacantes o inducir a usuarios a realizar acciones de riesgo. La técnica recibe ese nombre porque se basa en instrucciones maliciosas ocultas en el fragmento de URL (la parte después del símbolo "#") que apunta a un sitio legítimo y aparentemente inofensivo.
El ataque funciona cuando una URL especialmente creada es compartida por correo electrónico, redes sociales o incorporada en páginas web. Después de que la víctima carga la página y hace cualquier pregunta al navegador de IA o asistente, el sistema incorpora las instrucciones fragmentadas en su respuesta, agregando enlaces clicables, proporcionando pasos supuestamente útiles o, en modos agénticos, realizando solicitudes en segundo plano. Las instrucciones maliciosas pueden ser ofuscadas para evitar sospechas, incluso para usuarios que verifican enlaces antes de hacer clic.
Los investigadores probaron la técnica contra los navegadores Comet de Perplexity y Atlas de OpenAI, además de los asistentes Copilot for Edge de Microsoft, Gemini for Chrome de Google y Claude for Chrome. HashJack no funcionó en Claude for Chrome ni en Atlas, pero fue efectivo en los otros tres sistemas probados. La vulnerabilidad existe porque navegadores y asistentes de IA poseen acceso privilegiado al estado de la página, transformando cualquier contexto no verificado pasado al asistente en un vector potencial de amenaza. En navegadores agénticos como Comet, el ataque puede escalar aún más, con el asistente enviando automáticamente datos ingresados por el usuario en páginas web a endpoints controlados por atacantes.
Tras la divulgación responsable de los hallazgos por parte de Cato Networks a Google, Microsoft y Perplexity, las dos últimas empresas crearon e implementaron correcciones. Las soluciones fueron incluidas en Comet v142.0.7444.60 con Perplexity build 28106 y en Edge v142.0.3595.94 con Copilot. Google clasificó HashJack como "comportamiento previsto", alegando que no trata el control de salida de modelo, respuestas engañosas o instrucciones perjudiciales como vulnerabilidades de seguridad, describiendo el efecto como ingeniería social en lugar de quiebre de límite de seguridad. La explotación generalizada de esta falla es improbable, ya que HashJack es un proceso de múltiples etapas que depende de la interacción de los usuarios con el asistente del navegador de IA, y no solo de un simple clic en un enlace.
Este post fue traducido y resumido a partir de su versión original con el uso de IA, con revisión humana.
Con información de Help Net Security