Эксперты Cato Networks обнаружили, что части URL-адреса, начинающиеся с символа «#», могут скрывать команды, которые выполняются ИИ-помощниками в браузере без ведома пользователя. Этот метод получил название «HashJack».
Как это функционирует: ИИ-помощник обрабатывает текст, который следует за хеш-тегом, локально, не отправляя его на сервер. Таким образом, пользователь видит обычную веб-страницу, в то время как браузер выполняет скрытые команды.
Исследование показало, что некоторые ИИ-помощники, обнаруживая такие части URL, пытаются выполнять автономные действия, включая передачу данных на внешние ресурсы, контролируемые злоумышленниками. Другие могут выдавать вводящие в заблуждение подсказки или предлагать ссылки, которые имитируют надежные источники, создавая иллюзию нормальной работы, но при этом искажая информацию, предоставляемую пользователю. Браузер продолжает отображать правильный сайт, что усложняет обнаружение вмешательства без тщательной проверки ответов ИИ-помощника.
Отметим, что исследователи уже проинформировали крупные технологические компании о данной проблеме. На данный момент неясно, удалось ли устранить уязвимость.
Также добавим, что с января по октябрь 2025 года число DDoS-атак, организованных с использованием умных устройств в России, увеличилось в пять раз по сравнению с аналогичным периодом прошлого года. В 2024 году доля подобных атак составляла 7%, а в этом году объем инцидентов достиг 35%.
Хакеров привлекают для угона грузовиков с товарами
