HashJack：利用URL片段欺骗AI浏览器的新型漏洞攻击

Cato CTRL的安全研究人员发现了HashJack。这种创新的间接提示注入攻击将有害命令隐藏在“#”符号后的URL片段部分。该技术可将受信任的网站转变为针对AI浏览器助手（如Perplexity的Comet、Microsoft Edge中的Copilot和Google Chrome中的Gemini）的武器。

攻击原理

HashJack利用了核心Web标准：URL片段完全在浏览器中处理，永远不会到达服务器，从而规避了IDS/IPS、CSP规则和网络日志。当AI浏览器加载页面且用户与嵌入式助手交互时（例如询问服务），包括隐藏片段在内的完整URL会被添加到LLM的上下文窗口中。这会触发注入的指令，无缝改变响应，就像来自网站本身一样。

攻击链涉及五个步骤：制作受污染的URL、用户导航到合法网站、使用页面上下文激活AI助手、将片段注入提示、以及恶意执行（如链接插入或数据提取）。

攻击影响

在像Comet（版本138.0.7204.158）这样的代理浏览器中，攻击会升级：AI可以自主获取攻击者端点并附带抓取的详细信息（如账号或电子邮件）。非代理浏览器如Copilot（Edge 139.0.3405.102）和Gemini（Chrome 139.0.7258.128）仍会显示网络钓鱼链接或虚假信息。不过，Edge会对点击进行控制，而Chrome通常会重定向到搜索结果。

技术特点

间接提示注入与直接攻击的不同之处在于将命令嵌入模型摄取的外部数据中，由于模型缺乏对不可信输入的隔离，这构成了日益增长的LLM风险。Cato在演示网站上进行了测试，确认片段绕过了防御，因为数据包仅携带基本URL。

攻击场景

Cato详细介绍了六种场景：回调网络钓鱼通过查询（如“新服务？”）注入虚假支持号码（例如WhatsApp链接）；在Comet中进行数据外泄，在贷款检查期间将个人资料数据发送给攻击者；虚假信息伪造股票暴涨；恶意软件指南指导打开端口或添加SSH密钥；医疗页面推送错误剂量；凭据盗窃提示虚假登录。

漏洞披露与修复

披露始于2025年7月：Perplexity在Bugcrowd分类后于11月18日修复；Microsoft于10月27日应用了深度防御补丁；Google认为这是“预期行为”（S4严重性），截至11月25日仍未解决。Cato的SASE平台通过CASB限制AI、IPS防御网络钓鱼和NGAM应对恶意软件进行反击，尽管这是客户端问题。

安全启示

此漏洞突显了AI浏览器对完整URL的依赖，需要对片段进行清理。随着采用率的增长（Edge用户达2.74亿，Comet瞄准数百万用户），提示防护变得至关重要。