共计 1368 个字符,预计需要花费 4 分钟才能阅读完成。
Cato Networks 近日发现了一种名为“HashJack”的新型攻击手段,该攻击通过在合法 URL 的“#”符号后隐藏恶意指令,成功欺骗 AI 浏览器助手执行这些指令,同时绕过了传统的网络和服务器端防御机制。
提示注入攻击通常发生在未经用户编写的文本被 AI 机器人误认为命令时。直接提示注入是指攻击者在提示输入点直接插入恶意文本,而间接提示注入则是指攻击者通过网页或 PDF 等包含隐藏命令的内容,诱使 AI 执行这些命令。AI 浏览器作为一种新兴的网络浏览器,利用 AI 技术猜测用户意图并自主采取行动,然而这种技术却对间接提示注入攻击显得尤为脆弱——在试图提供帮助的过程中,AI 浏览器有时反而成为了攻击者的帮凶。
- 
- 
- 
- 
Cato 将 HashJack 描述为“首个已知的间接提示注入攻击,能够将任何合法网站武器化以操纵 AI 浏览器助手”。该攻击通过将恶意指令嵌入合法 URL 的片段部分,随后由 AI 浏览器助手(如 Edge 中的 Copilot、Chrome 中的 Gemini 和 Perplexity AI 的 Comet)处理。由于 URL 片段不会离开 AI 浏览器,传统的网络和服务器防御机制无法检测到这些恶意指令,从而将合法网站转变为攻击载体。
HashJack 的工作原理是在正常 URL 的末尾添加“#”符号,随后在该符号后附加恶意指令。当用户通过 AI 浏览器助手与页面交互时,这些指令会被输入到大型语言模型中,可能导致数据泄露、网络钓鱼、错误信息传播、恶意软件指导甚至医疗伤害等严重后果——例如向用户提供错误的药物剂量指导。
“这一发现尤为危险,因为它通过 URL 将合法网站武器化。用户看到一个受信任的网站,信任他们的 AI 浏览器,进而信任 AI 助手的输出——这使得攻击成功的可能性远高于传统的网络钓鱼,”Cato Networks 的研究员 Vitaly Simonovich 表示。
在测试中,Cato CTRL(Cato 的威胁研究部门)发现,具备代理能力的 AI 浏览器(如 Comet)可以被命令将用户数据发送到攻击者控制的端点,而更被动的助手仍可能显示误导性指令或恶意链接。这与典型的“直接”提示注入有显著不同,因为用户认为他们只在与受信任的页面交互,即使隐藏的片段输入攻击者链接或触发后台调用。
Cato 的披露时间表显示,谷歌和微软在 8 月收到了关于 HashJack 的警报,而调查结果在 7 月向 Perplexity 报告。谷歌将其分类为“不修复(预期行为)”和低严重性,而 Perplexity 和微软则对其各自的 AI 浏览器应用了修复。
“在微软,我们明白防御间接提示注入攻击不仅是一项技术挑战,更是在不断变化的数字环境中保护用户安全的持续承诺,”Redmond 在一份声明中表示。“我们的安全团队始终在寻找新的变体,将每个变体视为一个独特的场景,值得进行彻底调查。通过保持这种警惕的立场,我们确保我们的产品继续满足最高的安全标准。”
Cato 的调查结果表明,安全团队不能再仅仅依赖网络日志或服务器端 URL 过滤来捕捉新兴攻击。Cato 建议采用分层防御,包括 AI 治理、阻止可疑片段、限制允许的 AI 助手以及监控客户端。这一转变意味着组织需要超越网站本身,深入了解浏览器 + 助手组合如何处理隐藏上下文。
随着 AI 浏览器即将进入主流使用,HashJack 警告称,一类长期以来局限于服务器漏洞和网络钓鱼网站的威胁现在可能存在于浏览体验本身。®
