HashJack: uma nova exploração que aproveita fragmentos de URL para enganar navegadores de IA

HashJack: uma nova exploração que aproveita fragmentos de URL para enganar navegadores de IA

Pesquisadores de segurança da Cato CTRL descobriram o HashJack. Esta indireta inovadora ataque de injeção imediata oculta comandos prejudiciais na parte fragmentada de URLs após o símbolo “#”.

Essa técnica transforma sites confiáveis ​​em armas contra assistentes de navegador de IA, como o Comet da Perplexity, o Copilot da Microsoft no Edge e o Gemini do Google no Chrome.

Como o ataque se desenrola

HashJack explora um padrão web central: fragmentos de URL são processados ​​inteiramente no navegador e nunca alcançam servidores, evitando IDS/IPS, regras CSP e logs de rede.

Quando um navegador de IA carrega a página e os usuários interagem com o assistente incorporado, por exemplo, perguntando sobre os serviços, o URL completo, incluindo o fragmento oculto, é adicionado à janela de contexto do LLM.

Isso aciona instruções injetadas, alterando as respostas perfeitamente, como se fossem do próprio site.

A cadeia envolve cinco etapas: elaboração do URL contaminado, navegação do usuário até o site legítimo, ativação do assistente de IA com contexto da página, injeção de fragmentos no prompt e execução maliciosa, como inserção de link ou extração de dados.

Em navegadores agentes como o Comet (versão 138.0.7204.158), a situação aumenta: a IA pode autonomamente buscar endpoints do invasor com detalhes raspados, como números de contas ou e-mails.

Os não-agentes como Copilot (Edge 139.0.3405.102) e Gemini (Chrome 139.0.7258.128) ainda exibem links de phishing ou informações falsas. No entanto, o Edge bloqueia cliques e o Chrome frequentemente redireciona para os resultados da pesquisa.

A injeção indireta de prompt difere dos ataques diretos por incorporar comandos em dados externos que o modelo ingere, o que representa um risco crescente de LLM porque os modelos não possuem isolamento para entradas não confiáveis.

Cato testou em sites de demonstração, confirmando que os fragmentos contornam as defesas porque os pacotes carregam apenas o URL base.

Cato detalhou seis cenários. O phishing de retorno de chamada injeta números de suporte falsos (por exemplo, links do WhatsApp) por meio de consultas como “novos serviços?” Exfiltração de dados in Comet envia dados de perfil aos invasores durante verificações de empréstimos.

A desinformação fabrica aumentos de ações; malware orienta aberturas de portas ou adições de chaves SSH; páginas médicas empurram dosagens erradas; roubo de credenciais solicita logins falsos.

As divulgações começaram em julho de 2025: Perplexidade corrigida em 18 de novembro após a triagem do Bugcrowd; A Microsoft aplicou patches em 27 de outubro com defesa profunda; O Google considerou isso “comportamento intencional” (gravidade S4), não resolvido em 25 de novembro.

Plataforma SASE da Cato contadores via CASB para restrições de IA, IPS para phishing e NGAM para malware, apesar da natureza do lado do cliente.

Essa falha ressalta a dependência dos navegadores de IA em URLs completos, exigindo higienização de fragmentos.

À medida que cresce a adoção do Edge, com 274 milhões de usuários, o Comet está de olho em milhões – guardas imediatos tornam-se essenciais.

Siga-nos emGoogle Notícias,LinkedIneX para obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.