Cato Networks 發布了一種名為「HashJack」的新型攻擊方法,專門針對人工智慧瀏覽器助理。
HashJack 是一種間接提示注入技術,它會在合法 URL 的末尾添加“#”,並在其後嵌入惡意提示,從而確保命令僅傳遞給 AI 瀏覽器助手,例如 Edge 中的 Copilot、Chrome 中的 Gemini 和 Perplexity AI 的 Comet。
由於 URL 片段不會發送到網路設備或伺服器,因此據說使用傳統的日誌監控或 URL 過濾很難檢測到它們。
Cato CTRL 的測試表明,具有代理功能的 Comet 可能會被誘騙向攻擊者控制的端點發送用戶數據,甚至更被動的助手也可能被誤導或顯示惡意連結。
Cato 於 2025 年 7 月向 Perplexity 報告了這個問題,並於 8 月向Google和微軟報告了這個問題。 Perplexity 和微軟在其人工智慧瀏覽器中採取了應對措施,而Google則將 Chrome 瀏覽器的問題歸類為“不會修復(預期行為)”,嚴重程度較低。
從: 
HashJack攻擊表明,只需一個簡單的「#」符號即可欺騙人工智慧瀏覽器。
【社論】
HashJack 是一種針對人工智慧瀏覽器的攻擊,它相當於「人與網路之間」的一層。關鍵在於,即使使用者看到的網頁本身是合法的,攻擊者也只會利用 URL 中「#」號後面的部分,將指令注入 Copilot、Gemini 和 Comet 等人工智慧助理的上下文中。用戶看到的只是“可信任網站”和“常用的人工智慧助理”,但實際上,只有人工智慧在後台按照攻擊者的預設程式運行。
從技術上講,這是一種典型的間接提示注入攻擊,但其獨特之處在於,命令被放置在 URL 片段中,而不是 HTML 原始碼或隱藏文字中。由於片段通常不會被發送到伺服器,它們很容易繞過網關日誌和 Web 應用防火牆 (WAF) 規則,從而形成一種前所未有的威脅模型:「即使網域名稱合法,人工智慧也會被劫持」。在這種情況下,人工智慧添加的「解釋層」最終可以說創造了一個新的攻擊面。
影響顯著,因為像 Comet 這樣的基於代理的 AI 瀏覽器現在能夠自主執行表單提交和存取外部 API 等操作。 Cato CTRL 的測試證實了用戶資料被發送到攻擊者端點的場景,這表明即使是技術水平較低的攻擊也可能利用 LLM 的「文字生成功能」將用戶引導至釣魚網站或提供虛假的醫療資訊。這清楚地展現了「瀏覽器越智能,攻擊者就越能利用其智能」的現象。
各公司因應措施的差異也像徵下一代瀏覽器的難題。 Perplexity 和微軟都已實施修復,而Google 卻未對 Chrome 進行任何結構性更改,稱之為「預期行為」。這並非簡單的好壞之分,也反映了其設計理念,即「瀏覽器應在多大程度上控制其 AI 助手的上下文」。隨著各層之間的界線日益模糊,關於防禦責任應歸於何處——瀏覽器、AI 還是網路——的爭論在未來可能會變得更加重要。
這次事件的意義遠不止於「人工智慧瀏覽器是否危險」這一簡單問題,它標誌著「人機互動介面向人工智慧化」這一長期趨勢的轉折點。各組織機構需要超越對網路日誌和伺服器端措施的簡單依賴,重新評估其客戶端人工智慧使用策略和治理設計,包括允許使用哪些人工智慧助理。對於個人使用者而言,更新「合法網站+人工智慧助理=安全」的固有認知,很可能成為未來網路瀏覽素養的重要組成部分。
[術語]
間接快速注射
這是一個通用術語,指的是一種攻擊技術,它透過隱藏在人工智慧引用的外部內容中的命令,使 LLM 執行使用者不希望看到的指令。
URL 片段(哈希值,# 之後)
這是 URL 中「#」後面的部分,最初由瀏覽器用於指定螢幕位置和管理狀態,不會傳送到伺服器。
AI瀏覽器助手
這指的是 Edge 的 Copilot、Chrome 的 Gemini 和 Comet 等功能和擴展程序,它們使用 LLM 分析正在查看的網頁內容,並代表用戶提供摘要和操作。
代理功能(代理型人工智慧)
這是一個人工智慧功能,能夠根據指令自主執行多步驟操作並連接外部服務,還可以包括表單提交和 API 存取。
[參考連結]
Cato Networks (外部)
這家網路安全和 SASE 公司透過其威脅研究部門 Cato CTRL 發布了針對 HashJack 攻擊的技術細節和防禦措施。
Microsoft Copilot (外部)
這是微軟提供的一款人工智慧助手,它與 Edge 瀏覽器集成,可以總結網頁內容並協助導航,從而幫助提高工作效率和資訊發現能力。
Perplexity AI/Comet (外部)
該公司提供基於LLM的答案搜索,並透過AI瀏覽器Comet提供結合網頁瀏覽和代理功能的互動式瀏覽體驗。
Google Chrome (外部)
Google提供的這款網頁瀏覽器正在擴展,以與 Gemini 等人工智慧功能配合使用,從而允許用戶直接在瀏覽器內使用頁面摘要和搜尋輔助功能。
[參考影片]
[參考文章]
一種名為「HashJack」的新型技術使攻擊者能夠操縱 Comet、Copilot 和 Gemini 中的人工智慧助理(外部連結)
本書從技術角度解釋了 HashJack 的工作原理(它利用 URL 片段),以及基於代理的 AI 瀏覽器帶來的風險,例如資料外洩、網路釣魚和提供不正確的醫療資訊。
使用人工智慧瀏覽器?務必小心。此漏洞可將可信任網站變成武器-以下是具體操作方法(外部連結)。
本文對 HashJack 如何將受信任的合法網站轉化為攻擊載體進行了實際解釋,並提出了企業應實施的多層防禦措施和 AI 瀏覽器使用策略。
研究人員發現漏洞,駭客可透過合法網站劫持人工智慧瀏覽器助理(外部連結)
本文重點關注人工智慧瀏覽器助理可能被合法網站的 URL 片段劫持這一事實,並解釋了使用者對信任的感知與瀏覽器控制責任之間的差距。
[編者註]
在關注 HashJack 的故事時,我深刻地意識到瀏覽器不再只是瀏覽軟體。隨著人工智慧的普及,我們正在步入一個全新的時代:URL 中的一個字符,甚至螢幕外的某個訊息,都可能直接影響我們的行為和決策。因此,我認為,制定一套關於在何種場景下使用何種人工智慧的策略,將在未來成為一項重要的認知能力。
未來的瀏覽體驗無疑會比現在更方便、更個人化。同時,了解這種便捷背後可能發生的事情,是積極參與未來的前提。我希望這篇文章能啟發你重新思考你與人工智慧瀏覽器的互動方式。
