Cato Networks 的安全研究人員發現了一種新的間接提示注入技術，該技術可以迫使流行的 AI 瀏覽器和助手提供釣魚連結或虛假資訊（例如，錯誤的藥物劑量指導或投資建議），將敏感資料發送給攻擊者，或促使用戶執行危險操作。 他們稱這種技術為 HashJack(註)，因為它依賴於將惡意指令隱藏在指向合法（且無害）網站的 URL 的 #fragment 中。 這種精心設計的網址/連結可以透過電子郵件、社群媒體分享，或嵌入網頁中。一旦受害者加載頁面並向 AI 瀏覽器或 AI 瀏覽器助手提出問題——任何問題！——它就會「將片段指令融入其回應中（例如，加入可點擊的連結、發出『有用』的步驟，或是在代理模式下執行後台請求）」。 這些瀏覽器和助手擁有查看頁面狀態的特權——為了按預期工作，它們必須如此——但這同時也意味著“人工智能瀏覽器傳遞給人工智能助手的任何未經驗證的上下文都可能成為潛在的威脅載體”。

註：

在 Comet 等具有智能體的 AI 瀏覽器中，攻擊可能會進一步升級，AI 助理會自動將用戶資料（在網頁中輸入的資料）發送到威脅行為者控制的端點。 好消息是，在 Cato Networks 向 Google、Microsoft 和 Perplexity 披露了他們的發現之後，後兩家公司已經創建並實施了修復程序。這些修復程序包含在 Comet v142.0.7444.60（正式版本）（arm64）中，Perplexity 版本號為 28106，Edge v142.0.3595.94 中，Copilot（快速回應）也包含在內。

HashJack攻擊的潛在影響甚廣，其威脅測試場景涵蓋了Perplexity的Comet、微軟Edge的Copilot和Google Chrome的Gemini等主流產品。研究人員發現，雖然HashJack對Chrome的Claude和OpenAI的Atlas無效（因其存取URL片段的方式不同），但對於Copilot、Comet和Gemini等產品，該技術大多能夠成功運作，誘使AI執行惡意指令。HashJack的關鍵在於，即使是看似無害的連結，其URL片段也可能包含經過混淆處理的惡意提示，規避用戶的警覺性。值得關注的是，Google對於此類攻擊的看法，認為HashJack屬於「預期行為」，將其描述為「社交工程」而非安全邊界被打破的漏洞。Google僅承認由AI生成連結偶爾缺乏搜尋重定向是低嚴重性錯誤。然而，由於HashJack屬於多步驟的複合攻擊，需要用戶與AI助手互動才能觸發，因此大規模利用的可能性有所降低，但其暴露了AI瀏覽器設計中，未經內部驗證的上下文傳遞所帶來的根本性安全風險，迫切需要產業採取更全面的防禦措施。

資料來源：https://www.helpnetsecurity.com/2025/11/26/hashjack-hijack-ai-assistants-browsers/