Pesquisadores de segurança da Cato CTRL descobriram uma nova técnica de injeção indireta de alerta chamada HashJack, que transforma sites legítimos em armas para manipular assistentes de navegador de IA.
O ataque oculta instruções maliciosas após o símbolo “#” em URLs confiáveis, permitindo que os agentes da ameaça conduzam uma ampla gama de ataques sem comprometer nenhum site.
Como funciona o HashJack
A técnica explora uma falha fundamental de design na forma como os navegadores de IA lidam com fragmentos de URL. Quando os usuários visitam um URL contendo prompts ocultos após o símbolo “#”, o navegador de IA envia o URL inteiro, incluindo o fragmento, para seu assistente de IA.
A cadeia de ataque
Como os fragmentos de URL nunca saem do lado do cliente, as defesas tradicionais da rede e do servidor não conseguem detectá-los.
Isso cria um ponto cego perigoso. Os logs do servidor registram apenas o URL base limpo e os sistemas de detecção de intrusões não podem ver a carga maliciosa.
Mesmo os usuários preocupados com a segurança são enganados porque as sugestões do assistente de IA parecem nativas do site confiável que estão visitando.
O Google classificou o problema como “Não resolverá (comportamento pretendido)”, apesar de reconhecer o relatório. A Microsoft respondeu prontamente e aplicou uma correção dois meses após a divulgação.
Seis cenários de ataque identificados
De acordo com a Cato Networks, os pesquisadores descreveram seis cenários perigosos possibilitados pelo HashJack.
Isso inclui phishing de retorno de chamada, em que números de suporte falsos aparecem nas respostas de IA; exfiltração de dados em navegadores agentes como o Comet; e desinformação através de notícias financeiras fabricadas.
Cato CTRL testou o HashJack em três navegadores principais de IA:
AI BrowserVendorStatusCometPerplexityFixed (18 de novembro de 2025)Copilot for EdgeMicrosoftFixed (27 de outubro de 2025)Gemini for ChromeGoogleNão resolvido
A técnica também permite orientação de malware com instruções de instalação passo a passo, danos médicos por meio de desinformação de dosagem perigosa e roubo de credenciais por meio de links de login injetados.
As capacidades de agente do navegador Comet da Perplexity provaram ser especialmente preocupantes.
Durante o teste, o navegador enviou automaticamente dados do usuário, incluindo nomes de contas, histórico de transações e detalhes de contato, para terminais controlados pelo invasor.
HashJack representa uma mudança significativa no cenário de ameaças de IA. Ao contrário dos ataques de phishing tradicionais que dependem de sites falsos, esta técnica abusa da confiança do utilizador em domínios legítimos.
Qualquer site pode ser transformado em arma sem ser comprometido. O invasor precisa compartilhar um URL criado contendo o fragmento malicioso.
À medida que os assistentes de navegador de IA obtêm acesso a dados confidenciais e controles de sistema, o risco de manipulação de contexto continuará aumentando.
Especialistas em segurança incentivam os fornecedores de navegadores de IA a implementarem defesas robustas antes que a adoção generalizada torne esses ataques inevitáveis em cenários do mundo real.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
