Hlavní strana -> Zprávy
Aktuality -> Analýzy - 6. 12. 2025 - redakce

Nová technika hackerů HashJack zneužívá zranitelnost AI

Laboratoř pro výzkum kybernetických hrozeb Cato CTRL odhalila, jak mohou webové prohlížeče poháněné umělou inteligencí proměnit důvěryhodné weby v platformy pro krádež dat a škodlivé aktivity. Nově objevená technika nazvaná HashJack zneužívá nepřímou injekci promptů (pokynů pro prohlížeč v režimu umělé inteligence), kdy se škodlivé instrukce skrývají za znakem # v legitimních URL adresách, v tzv. fragmentech. Když AI prohlížeče odešlou úplnou URL adresu (včetně fragmentu) svým AI asistentům, tyto skryté příkazy se automaticky provedou. To umožňuje útočníkům zkoušet realizovat různé škodlivé činnosti. Jde o první známý typ útoků tohoto typu. Funguje pro webové prohlížeče v režimu umělé inteligence, včetně Comet (Perplexity), Copilot/Edge (Microsoft) a Gemini/Chrome (Google).



Tým expertů Cato CTRL je součástí společnosti Cato Networks, která je dodavatelem bezpečnostní platformy typu SASE (Secure Access Service Edge) a neustále tak sleduje a odhaluje nové kybernetické hrozby, jako je i nová technika nazvaná výstižně HashJack, protože za znakem hash v URL adresách podsouvá prohlížečům v režimu AI falešné příkazy.

Jak technika HashJack funguje

Útočníci pošlou e-mailem nebo na webu či sociálních sítích publikují škodlivý odkaz. Má následující podobu: legitimníweb # prompt. Když prohlížeč v režimu AI načte stránku a komunikuje s asistentem AI, tyto skryté výzvy jsou přímo vkládány do velkých jazykových modelů (LLM). Útok může dále eskalovat, protože AI asistent automaticky odesílá uživatelská data na koncové body ovládané útočníky.
 
 
Protože škodlivý fragment je vložen do URL adresy skutečné webové stránky, uživatelé předpokládají, že obsah je bezpečný, zatímco skryté pokyny tajně manipulují s asistentem AI.
Uživatel následně pracuje s asistentem umělé inteligence. Odpovědi asistenta se ovšem pak řídí (jsou zmanipulovány) příslušným příkazem; pokyny z fragmentu URL se začlení do odpovědi, může dojít např. k vložení dalšího škodlivého odkazu (odkaz na phishingový web, telefonní číslo...) nebo (v automatických režimech) i provádění komplexních kroků včetně odesílání dat.
 
Škodlivé „rozšíření“ webové adresy je neviditelné pro uživatele i pro bezpečnostní nástroje, které stále vidí jen adresu legitimního webu. Fragmenty URL fungují pouze v rámci webovému prohlížeče, webové servery ani síové nástroje pro kontrolu provozu je nezpracovávají. Nástroje typu IDS/IPS proto tuto aktivitu nedokážou detekovat, ochrana CSP (Content Security Policy) je rovněž neúčinná, protože webová stránka sama o sobě není změněna. Příslušný web není nijak kompromitován. Problém spočívá pouze v tom, jak prohlížeče v režimu umělé inteligence zpracovávají adresu URL (fragmenty za znakem #).
Metoda je proto pro útočníky velmi snadno proveditelná a oklamáni mohou být i opatrní uživatelé. Odpověď asistenta AI vypadá jako součást původního webu, není nijak nápadná.
 
Tato technika se podle týmu Cato CTRL může stát významným bezpečnostním rizikem pro aplikace LLM, protože útočníci mohou manipulovat s AI systémy pouze tím, že vloží pokyny do jakéhokoli obsahu, který model může číst.
Relativně nejohroženější jsou uživatelé webového prohlížeče Comet, protože ten funguje v režimu agenta a může automaticky provádět za uživatele určité činnosti včetně řetězení více kroků (automatické vyhledávání, objednávky atd.).
 

Možné scénáře zneužití

Útočníci mohou asistentovi AI nařídit přidat odkazy směřující na zdroje útočníků, včetně telefonních čísel a skupin WhatsApp, které vypadají oficiálně. Uživatelé mohou být podvedeni a manipulován k zadání svých přihlašovacích údajů na phishingovém webu, který vypadá jako součást legitimní domény. Tento typ útoků ani nevyžaduje webový prohlížeč na bázi agenta AI.
 
Útočníci také mohou do odpovědi asistenta AI vložit nepravdivé informace, např. finanční rady. Tento typ útoků opět nevyžaduje webový prohlížeč na bázi agenta. Asistent AI může být dále zmanipulován k tomu, aby poskytoval podrobné pokyny k rizikovým akcím, jako je otevírání portů a stahování balíčků softwaru, které jsou ve skutečnosti malwarem.
V „agentních“ prohlížeči, jako je Comet, může skrytý fragment nařídit asistentovi s umělou inteligencí, aby načítal URL adresy útočníků a připojoval k nim jako parametry kontextové údaje o uživateli, např. číslo účtu, historie transakcí, e-mailový profil a telefonní číslo. Citlivé údaje mohou být odeslány útočníkovi na pozadí, zatímco uživatel se domnívá, že klade rutinní otázky.
 
Podle zjištění týmu Cato CTRL technika HashJack ukazuje, jak může tento typ útoků vytvořit novou třídu rizik v prostředí webu řízeného umělou inteligencí. „Zbraněmi“ jsou legitimní weby pouze prostřednictvím jejich adres URL. Uživatelé vidí důvěryhodnou stránku, důvěřují svému AI prohlížeči, a následně proto důvěřují i výstupům AI asistenta, což ve srovnání tradičním phishingem podstatně zvyšuje pravděpodobnost úspěchu útočníků. Dodavatelé prohlížečů fungujících v režimu AI i bezpečnostní firmy by měli na tuto situaci urychleně reagovat. Prohlížeče Copilot for Edge (Microsoft) a Comet (Perplexity) již byly v reakci na upozornění společnosti Cato aktualizovány.
 
Podrobné informace o hrozbě HashJack naleznete na blogu týmu Cato CTRL:

 
  

- PR -

MPSV zvyšuje kybernetickou odolnost

s VR řešením Company (Un)Hacked


Ministerstvo práce a sociálních věcí (MPSV) je ústředním orgánem státní správy. Kybernetická bezpečnost je pro MPSV zásadní, nebo všechny agendové systémy jsou součástí kritické infrastruktury a musí naplňovat požadavky kybernetického zákona. Odbor kybernetické bezpečnosti vedený Janem Mikuleckým spravuje rozsáhlou ICT infrastrukturu včetně kritických systémů resortu, stejně jako citlivá data milionů občanů – sociální dávky, zaměstnanost – a musí odolávat stále rostoucím hrozbám v digitálním prostoru.