Интеграция ИИ-ассистентов в браузеры — Copilot в Microsoft Edge, Gemini в Google Chrome, Comet от Perplexity и другие — открыла пользователям удобный способ анализа веб-страниц. Однако исследование компании Cato Networks показало, что эти возможности создают и новый класс атак. Обнаруженная техника, получившая название HashJack, позволяет скрытно внедрять команды в ИИ через адресную строку браузера и обходить традиционные системы защиты.
Что такое атака HashJack и как она работает
Ключевая особенность атаки HashJack связана с тем, как браузеры обрабатывают URL. Все, что находится после символа # (так называемый URL-фрагмент или hash), не отправляется на веб‑сервер и обрабатывается только на стороне клиента. Для классических веб-приложений это обычно используется для навигации по странице, якорям или состоянию SPA-приложений.
Исследователи показали, что злоумышленник может взять полностью легитимный URL, добавить в конец символ «#», а затем — скрытые промпты для ИИ: инструкции, команды или запросы на передачу данных. Для сервера такой запрос выглядит абсолютно безвредно, поскольку фрагмент просто не доходит до него. Однако встроенный ИИ-ассистент, анализирующий содержимое страницы и контекст, видит эти данные и обрабатывает их как часть задания пользователя.
Использование символа # как скрытого канала для prompt injection
По сути, HashJack превращает фрагмент URL в скрытый канал управления ИИ-моделью. Когда пользователь активирует ассистента (например, просит «подытожить страницу» или «ответить на вопросы по тексту»), языковая модель получает не только содержимое сайта, но и вредоносные подсказки, спрятанные после «#». Так возникает опосредованная инъекция промптов — ИИ использует не то, что явно запросил пользователь, а то, что было тайно внедрено в контекст.
Почему HashJack — новая форма опосредованной инъекции промптов
Prompt injection уже несколько лет рассматривается как один из ключевых рисков для генеративных моделей: атакующий формулирует инструкцию так, чтобы модель нарушила правила, раскрыла данные или выполнила нежелательные действия. Особенность HashJack в том, что это первая задокументированная атака, превращающая любой доверенный сайт в вектор prompt injection без его компрометации. Сам сайт может быть легальным и безопасным, но манипуляция с URL делает взаимодействие с ним опасным при участии ИИ-ассистента.
Таким образом, риск сдвигается с уровня «зломышленник контролирует контент сайта» на уровень «злоумышленник контролирует ссылку, по которой переходит пользователь». Это значительно упрощает проведение атак через рассылки, чаты, документы и рекламные объявления, где достаточно подменить URL на версию с добавленным «#» и вредоносным фрагментом.
Практические сценарии эксплуатации HashJack
В ходе тестов специалисты Cato Networks продемонстрировали несколько вариантов злоупотребления уязвимостью. В ИИ-браузерах с агентными возможностями, таких как Comet от Perplexity, HashJack позволял инициировать утечку пользовательских данных на сервера, контролируемые атакующими. ИИ-агент, следуя внедренным в URL инструкциям, мог собирать фрагменты истории действий, контент страницы или конфиденциальную информацию, введенную пользователем, и отправлять её наружу.
В других сценариях ИИ-ассистенты вынуждались выдавать фишинговые ссылки, подсовывать пользователю вводящие в заблуждение рекомендации или даже изменять интерпретацию данных на странице. Исследователи отдельно подчеркивают риски для сфер с высокой критичностью — медицины, финансов, права. Если ИИ, опираясь на скрытый промпт, предложит неверную дозировку лекарства или опасный финансовый совет, последствия могут выйти далеко за рамки цифрового ущерба.
Реакция Google, Microsoft и Perplexity на обнаруженную уязвимость
О проблеме HashJack разработчики были уведомлены заранее: Perplexity — в июле, Google и Microsoft — в августе. Подход вендоров оказался неоднородным. По данным Cato Networks, Google классифицировала поведение как «ожидаемое», присвоила ему низкий приоритет и отказалась вносить изменения в работу Chrome и Gemini.
В то же время Microsoft и Perplexity выпустили обновления для своих ИИ-браузеров, пытаясь минимизировать риск опосредованных инъекций промптов через URL-фрагменты. Представители Microsoft заявили, что защита от подобных атак рассматривается как «непрерывный процесс», и каждая новая техника prompt injection анализируется отдельно.
Почему традиционные средства защиты бессильны против HashJack
Классические инструменты защиты веб-приложений — WAF, фильтры на стороне сервера, системы мониторинга HTTP-трафика — попросту не видят содержимое после символа «#», так как оно не передаётся по сети. Это означает, что ни серверные правила, ни сигнатуры IDS/IPS, ни центральные прокси не могут отфильтровать вредоносный промпт.
Кроме того, многие решения по безопасности сегодня ориентированы на проверку контента сайта и файлов, но не учитывают «связку» «браузер + ИИ-ассистент», обрабатывающую скрытый контекст. В результате HashJack оказывается вне поля зрения и классического анализа URL, и стандартных антифишинговых механизмов.
Рекомендации по защите от HashJack и атак на ИИ-браузеры
Исследователи подчеркивают, что эффективное противодействие HashJack требует многоуровневого подхода. На уровне организации целесообразно внедрять управление использованием ИИ-инструментов: ограничивать список разрешенных ИИ-ассистентов, централизованно настраивать их политики безопасности и отключать высокорисковые функции, если в них нет прямой бизнес‑необходимости.
Важным шагом является фильтрация и нормализация URL на стороне клиента — в браузерных плагинах, агентском ПО или безопасных шлюзах. Подозрительные или нестандартные фрагменты после «#», особенно содержащие длинные текстовые инструкции, стоит блокировать или хотя бы помечать как рискованные для ИИ-обработки.
Отдельное направление — мониторинг активности ИИ-ассистентов в браузерах. Организации могут внедрять логирование запросов к ИИ, анализировать нетипичные ответы (например, неожиданные внешние ссылки или попытки передачи данных) и использовать механизмы DLP для контроля того, какие данные ИИ вообще может отправлять во внешние сервисы.
Наконец, обучение пользователей остается критически важным. Сотрудников стоит информировать, что наличие знакомого домена и «надежного» интерфейса браузера не гарантирует, что ответы ИИ безопасны. Любые рекомендации, касающиеся финансовых решений, здоровья или конфиденциальных операций, должны перепроверяться по независимым источникам.
Распространение HashJack демонстрирует, что с ростом популярности ИИ-браузеров усиливается и интерес злоумышленников к новому уровню атаки — контексту языковых моделей. Организациям уже недостаточно защищать только веб-сайты и трафик: необходимо учитывать всю цепочку «пользователь — браузер — ИИ-ассистент — внешний сервис». Чем раньше будут выстроены процессы контроля и мониторинга ИИ-инструментов, тем ниже вероятность того, что обычный клик по ссылке с символом «#» превратится в точку входа серьёзной кибератаки.
