共计 1151 个字符,预计需要花费 3 分钟才能阅读完成。
近日,Cato Networks Ltd. 旗下的 Cato CTRL 威胁研究团队发布报告,揭示了一种名为“HashJack”的新型间接提示注入技术。该技术可利用合法网站操控嵌入浏览器的人工智能助手,包括 Perplexity AI Inc. 的 Comet、Microsoft Corp. 的 Edge Copilot 和 Google LLC 的 Chrome Gemini。
HashJack 技术通过在 URL 片段中嵌入隐藏指令来实施攻击。URL 片段是 URL 地址的一部分,通常不会离开客户端浏览器,也不会被 Web 服务器或网络工具记录或检查。当 AI 浏览器加载页面且用户提出相关问题时,AI 助手会将隐藏片段纳入其上下文窗口,将其视为页面内容的一部分。这种隐藏片段可以触发助手生成误导性指导、伪造链接、将用户发送到攻击者控制的页面,或者在如 Comet 等代理 AI 的情况下,执行自主操作,如后台数据获取到恶意端点。
研究人员在测试中发现,Perplexity 的 Comet 浏览器最容易受到 HashJack 的攻击,因为其代理能力允许助手自动执行隐藏指令,包括将用户上下文(如账户详细信息或电子邮件地址)发送到攻击者服务器。Edge 的 Copilot 和 Chrome 的 Gemini 也显示出可被利用的行为,尽管两者都应用了一些门控或链接重写,减少了但并未消除风险。
该研究概述了该技术实现的六种攻击场景,包括回调钓鱼、数据泄露、虚假信息、恶意软件指导、医疗相关危害和凭证盗窃。在公开细节之前,Cato CTRL 威胁研究团队在过去几个月内向 Perplexity、Microsoft 和 Google 报告了其发现,并得到了不同的回应。Perplexity 将该问题列为严重问题,并在 11 月应用了修复。Microsoft 确认了该行为,并在 10 月底实施了修复,并强调了其针对间接提示注入的深度防御策略。然而,Google 将该行为分类为预期行为,并标记为“不修复”,使 Chrome 的 Gemini 仍然易受攻击。
研究人员认为,HashJack 凸显了 AI 浏览器中出现的更广泛设计缺陷,这些浏览器通常将完整的 URL 传递给其嵌入式助手,而不会清理片段。由于用户看到的是受信任的网站,并且严重依赖 AI 助手进行指导,因此即使输出被秘密操控,也可能看起来是合法的。
Cato CTRL 的发现强调了解决提示注入风险和 AI 浏览器设计缺陷的安全框架的紧迫性。随着 AI 浏览器助手获得对敏感数据和系统控制的访问权限,上下文操纵的风险只会增加。AI 浏览器供应商和安全专家必须立即采取行动,否则广泛采用将使这些攻击在现实世界中不可避免。
该报告发布一周前,浏览器安全公司 SquareX Ltd. 曾警告称,Perplexity 的 Comet 浏览器中隐藏的应用程序编程接口允许 AI 浏览器中的扩展执行本地命令并完全控制用户的设备。
