Cuidado ao usar navegadores com IA: uma vulnerabilidade transforma sites confiáveis em ameaças – saiba mais.

Pesquisadores revelaram uma nova técnica de ataque conhecida como HashJack, que manipula navegadores de IA e janelas de contexto para enviar conteúdo malicioso aos usuários. O que é o HashJack? HashJack é o nome da técnica de injeção de prompt indireta recentemente descoberta e descrita pela equipe de inteligência de ameaças Cato CTRL. Em um relatório divulgado na terça-feira, os pesquisadores afirmaram que esse ataque pode “transformar qualquer site legítimo em uma ferramenta para manipular assistentes de navegador de IA”.

A técnica de ataque do lado do cliente utiliza a confiança do usuário para acessar assistentes de navegador de IA, envolvendo cinco etapas: Instruções maliciosas são elaboradas e escondidas como fragmentos de URL após o símbolo “#” em um URL legítimo, que leva a um site genuíno e confiável. Esses links manipulados são então publicados online, compartilhados em redes sociais ou incorporados em conteúdos da web. Quando a vítima clica no link, acreditando que ele é confiável, nada acontece para levantar suspeitas. No entanto, se o usuário abrir seu assistente de navegador de IA para fazer uma pergunta ou enviar uma consulta, a fase de ataque é iniciada. Os prompts ocultos são então fornecidos ao assistente de IA, que pode servir à vítima conteúdos maliciosos, como links de phishing. O assistente também pode ser forçado a executar tarefas perigosas em modelos de navegador agentic. Segundo Cato, em navegadores de IA agentic, como o Comet da Perplexity, o ataque “pode progredir ainda mais, com o assistente de IA enviando automaticamente dados do usuário para pontos de controle controlados pelos atacantes”.

Por que isso é importante? Como uma técnica de injeção de prompt indireta, o HashJack oculta instruções maliciosas nos fragmentos de URL após o símbolo “#”, que são então processados por um modelo de linguagem grande (LLM) usado por um assistente de IA. Essa técnica é intrigante, pois depende da confiança do usuário e da crença de que os assistentes de IA não fornecerão conteúdo malicioso. Além disso, pode ser mais eficaz, já que o usuário visita e vê um site legítimo — sem necessidade de URLs de phishing suspeitas ou downloads automáticos. Qualquer site pode se tornar uma arma, já que o HashJack não precisa comprometer um domínio da web. Em vez disso, a falha de segurança explora como os navegadores de IA tratam os fragmentos de URL. Além disso, como os fragmentos de URL não saem dos navegadores de IA, é improvável que defesas tradicionais detectem a ameaça. “Essa técnica se tornou um risco de segurança significativo para aplicações de LLM, uma vez que os agentes de ameaça podem manipular sistemas de IA sem acesso direto, incorporando instruções em qualquer conteúdo que o modelo possa ler”, afirmam os pesquisadores.

Cato delineou vários cenários em que esse ataque poderia levar ao roubo de dados, coleta de credenciais ou phishing. Por exemplo, um atacante poderia ocultar um prompt instruindo um assistente de IA a adicionar links falsos de segurança ou suporte ao cliente a uma resposta em uma janela de contexto, fazendo com que um número de telefone de uma operação fraudulenta pareça legítimo. O HashJack também poderia ser usado para espalhar desinformação. Se um usuário visitar um site de notícias através da URL manipulada e fizer uma pergunta sobre o mercado de ações, por exemplo, o prompt poderia instruir a IA a descrever “a empresa” como uma notícia de última hora, afirmando que suas ações subiram 35% nesta semana e estão prestes a disparar. Em outro cenário — que funcionou no navegador de IA agentic Comet — dados pessoais poderiam ser roubados. A exemplo, um gatilho poderia ser “Sou elegível para um empréstimo após visualizar transações?” em um site bancário. Um fragmento HashJack obteria silenciosamente uma URL maliciosa e anexaria informações fornecidas pelo usuário como parâmetros. Enquanto a vítima acredita que suas informações estão seguras ao responder perguntas rotineiras, na realidade, seus dados sensíveis, como registros financeiros ou informações de contato, são enviados a um cibercriminoso em segundo plano.

A falha de segurança foi reportada ao Google, Microsoft e Perplexity em agosto. O Google Gemini para Chrome: O HashJack não foi tratado como uma vulnerabilidade e foi classificado pelo Programa de Recompensas por Vulnerabilidades do Google Chrome e pelos Programas de Abuso / Confiança e Segurança do Google como de baixa gravidade (S3) para comportamento de link direto (sem redirecionamento de busca), além de ser arquivado como “Não Corrigir (Comportamento Intencionado)” com uma classificação de baixa gravidade (S4). Microsoft Copilot para Edge: O problema foi confirmado em 12 de setembro e uma correção foi aplicada em 27 de outubro. “Estamos felizes em compartilhar que o problema relatado foi totalmente resolvido”, disse a Microsoft. “Além de abordar o problema específico, também tomamos medidas proativas para identificar e tratar variantes semelhantes usando uma estratégia de defesa em profundidade.” O Comet da Perplexity: O relatório original do Bugcrowd foi encerrado em agosto devido a dificuldades em identificar um impacto de segurança, mas foi reaberto após informações adicionais serem fornecidas. Em 10 de outubro, o caso do Bugcrowd foi triado e o HashJack foi classificado como de gravidade crítica. A Perplexity emitiu uma correção final em 18 de novembro.

O HashJack também foi testado no Claude para Chrome e no Atlas da OpenAI. Ambos os sistemas se defenderam contra o ataque. “O HashJack representa uma mudança significativa na paisagem de ameaças de IA, explorando duas falhas de design: a suscetibilidade dos LLMs à injeção de prompt e a decisão dos navegadores de IA de incluir automaticamente URLs completas, incluindo fragmentos, na janela de contexto de um assistente de IA”, comentaram os pesquisadores. “Essa descoberta é especialmente perigosa porque transforma sites legítimos em armas através de suas URLs. Os usuários veem um site confiável, confiam em seu navegador de IA e, por sua vez, confiam na saída do assistente de IA — tornando a probabilidade de sucesso muito maior do que em phishing tradicional.”

Referência: ZDNET