HashJack hides attacks in URLs using AI prompt injection. Cato CTRL reveals six risks, from phishing to data theft and misinformation.

A new threat dubbed “HashJack” could enable attackers to booby trap websites when they interact with AI browsers

AIブラウザーを狙う新手の攻撃「HashJack」が発覚。URLの「#」以降に隠された指示で、正規サイトを悪用しAIアシスタントを操り、フィッシングや情報窃取を可能にする手法だ。

Hashtag-do-whatever-I-tell-you Cato Networks says it has discovered a new attack, dubbed "HashJack," that hides malicious prompts after the "#" in legitimate URLs, tricking AI browser assistants into executing them while dodging traditional network and server-side defenses.…

Other noteworthy stories that might have slipped under the radar: Scattered Spider members plead not guilty, TP-Link sues Netgear, Comcast agrees to $1.5 million fine.

: Hashtag-do-whatever-I-tell-you

SecurityWeekのサイバーセキュリティニュースまとめは、見逃されがちな注目すべきストーリーを簡潔にまとめてお届けします。 記事全体にするほどではないものの、サイバーセキュリティの状況を包括的に理解するために重要なストーリーを価値ある要約として提供します。 毎週、最新の脆弱性発見や新たな攻撃手法、重要な政策変更や業界レポートなど、注目すべき動向を厳選してお届けします。 今週の主なニュースはこちら： Scattered Spiderの疑いのあるメンバー、TfL攻撃で無罪を主張 今年初めに英国で逮捕されたScattered Spiderの疑いのある2人、Thalha JubairとOwen Flowersは、ロンドン交通局（TfL）に対する妨害的なサイバー攻撃を行ったとされる容疑について無罪を主張しました。Jubairは米国でも起訴されており、ネットワークへのハッキング、被害者データの窃取・暗号化、恐喝などの容疑がかけられています。 HashJack攻撃がAIブラウザーを標的に Cato Networksの研究者は、AIブラウザーアシスタントを標的とした新たな間接プロンプトインジェクション攻撃HashJackを公表しました。HashJackは、正規のURL内の「#」記号以降に悪意あるプロンプトを隠す手法です。Comet、Edge、ChromeのAIブラウザーアシスタントはURLを処理する際にコマンドを実行し、フィッシング、データ流出、マルウェア配布、誤情報拡散につながる可能性があります。影響を受けたブラウザーベンダーには通知されており、Google（低リスクと分類）を除き、パッチがリリースされています。 リークによりイランAPT「Charming Kitten」の内部運用が明らかに イランの脅威グループCharming Kitten（APT35）に属する内部文書が先月GitHubでリークされ、同グループの内部運用が明らかになりました。DomainToolsによる分析では、ハッカーたちは「官僚的な軍事指揮系統の中で、ノルマに基づくサイバー作戦部隊」として活動していることが示されました。メンバーには特定のタスクが割り当てられ、上司はフィッシング成功率、悪用指標、完了タスク、作業時間などを含む月次パフォーマンスレポートを提出しています。 Scattered Lapsus$ Huntersのメンバー「Rey」、ヨルダン出身の少年と特定 サイバーセキュリティブロガーのBrian Krebsは、「Rey」の正体をScattered Lapsus$ Huntersサイバー犯罪グループの主要メンバーである、ヨルダン・アンマン出身の16歳Saif Al-Din Khaderであると明らかにしました。この少年は自らReyであることを認め、グループからの引退を目指しつつ欧州の法執行機関と協力していると主張しましたが、Krebsはその主張を確認できませんでした。 TP-Link、虚偽の中国関連主張でNetgearを提訴 TP-Linkは、NetgearがTP-Linkと中国政府の関係を偽って主張する中傷キャンペーンの一環として、デラウェア州で訴訟を起こしました。TP-Linkはカリフォルニア州に設立・本社を置いていることを強調し、Netgearのキャンペーンが市場での不当な優位性を生み出し、連邦および州法に違反していると主張しています。 Comcast、ベンダーのデータ侵害で150万ドルの罰金に同意 通信事業者Comcastは、サードパーティサービスプロバイダーで発生したデータ侵害に関するFCCの調査を解決するため、150万ドルの罰金に同意しました。この事件は2024年2月に発生し、債権回収会社Financial Business and Consumer Solutions（FBCS）が関与していました。約23万8,000人のComcast顧客が影響を受けました。 重大なFirefoxの脆弱性 Aisleは、FirefoxのWebAssemblyエンジンに存在する重大な脆弱性CVE-2025-13016の技術的詳細を公開しました。この脆弱性はリモートコード実行につながる可能性があります。問題のコードは2025年4月にブラウザーへ追加され、独自のリグレッションテストも含まれていましたが、10月まで気付かれませんでした。Firefox 145で修正されています。「脆弱なコードはコードレビューを通過し、同じコードパスをテストするためのテストも含まれ、複数のFirefoxリリースで出荷されていました」とAisleは指摘しています。 Gainsight、Salesforce攻撃で影響を受けた顧客はごく少数と発表 先週Gainsight-Salesforce連携を妨害した攻撃の調査が続いていますが、Gainsightは事件の影響を引き続き過小評価しています。同社は先週、データ侵害の影響を受けたのは3組織のみと発表し、CEOも火曜日に「ごく少数の顧客」のデータが侵害されたと述べました。一方Googleは、約200のSalesforceインスタンスが影響を受けた可能性があるとメディアに伝えました。 ShadowV2 IoTボットネット、AWS障害時に活動 主にルーターなどの脆弱なIoTデバイスを感染させるMiraiベースのボットネット「ShadowV2」は、10月末の大規模なAWS障害時に活動が確認されました。この障害は世界中の複数の組織に影響を与えました。「これまでのところ、マルウェアは大規模なAWS障害時のみ活動していたようです。今後の攻撃に備えたテスト運用だった可能性が高いと考えています」とFortinetは述べています。9月にはDarktraceが、ShadowV2がインターネットに公開されたAWSクラウドインスタンス上で稼働するDockerデーモンを標的にしていることを明らかにしました。 Bloody Wolf APTが中央アジア全域で活動拡大 Bloody Wolf APTは、中央アジアのより広い国々の組織を標的に、主に法務省などの政府機関になりすまして新たな攻撃を仕掛けているとGroup-IBが報告しています。スピアフィッシングを利用し、STRRATマルウェアや正規のリモート管理ツールNetSupportを展開する様子が確認されました。これまでカザフスタンやロシアの組織が主な標的でしたが、最近ではキルギスやウズベキスタンにも拡大しています。 翻訳元:

Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread

Security researchers at Cato Networks have uncovered a new indirect prompt injection technique that can force popular AI browsers and assistants to deliver phishing links or disinformation (e.g., incorrect medicine dosage guidance or investment advice), send sensitive data to the attacker, or push users to perform risky actions. They call the technique HashJack, because it relies on malicious instructions being hidden in the #fragment of a URL that points to a legitimate (and otherwise innocuous) …

: Hashtag-do-whatever-I-tell-you

Researchers have discovered the “HashJack” attack, a critical vulnerability enabling the hijacking of AI browsers and assistants through malicious URL hash fragments.

Nova tática hacker injeta comandos escondidos em navegadores para roubar dados e invadir máquinas de quem usa assistentes de IA para surfar na internet

Cato Networksは、「HashJack」と名付けられた新たな攻撃を発見したと発表しました。これは正規のURLの「#」以降に悪意のあるプロンプトを隠し、AIブラウザアシスタントを騙してそれらを実行させる一方で、従来のネットワークやサーバー側の防御を回避する手法です。 プロンプトインジェクションは、ユーザーが書いていないテキストがAIボットへのコマンドになる場合に発生します。直接的なプロンプトインジェクションは、不要なテキストがプロンプト入力時に入力されることで発生し、間接的なインジェクションは、AIが要約するよう求められたウェブページやPDFなどのコンテンツに隠されたコマンドが含まれている場合に発生します。AIブラウザは、ユーザーの意図を推測し自律的に行動しようとする比較的新しいタイプのウェブブラウザですが、これまでのところ間接的なプロンプトインジェクションに特に脆弱であることが証明されています。役立とうとするあまり、時にエンドユーザーではなく攻撃者を助けてしまうことがあります。 CatoはHashJackを「AIブラウザアシスタントを操作するためにあらゆる正規のウェブサイトを兵器化できる、初めて知られた間接的プロンプトインジェクション」と説明しています。この手法では、攻撃者が正規のURLのフラグメント部分に悪意のある指示を忍ばせ、それがEdgeのCopilot、ChromeのGemini、Perplexity AIのCometなどのAIブラウザアシスタントによって処理されます。URLフラグメントはAIブラウザから外部に送信されないため、従来のネットワークやサーバーの防御では検知できず、正規のウェブサイトが攻撃ベクターに変わってしまいます。 この新しい手法は、通常のURLの末尾に「#」を追加し、さらにその後に悪意のある指示を加えることで機能します。これによりURLの遷移先は変わりません。ユーザーがAIブラウザアシスタントを介してページとやり取りすると、その指示が大規模言語モデルに入力され、データの流出、フィッシング、誤情報、マルウェアの案内、さらには誤った投薬指示など医療被害をもたらす可能性もあります。 「この発見は特に危険です。なぜなら、URLを通じて正規のウェブサイトを兵器化できるからです。ユーザーは信頼できるサイトを見て、AIブラウザを信頼し、AIアシスタントの出力も信頼します。そのため、従来のフィッシングよりも成功率がはるかに高くなります」とCato Networksの研究者Vitaly Simonovich氏は述べています。 テストでは、Cato CTRL（Catoの脅威研究部門）は、Cometのようなエージェント機能を持つAIブラウザがユーザーデータを攻撃者が管理するエンドポイントに送信するよう命令できることを確認しました。一方、より受動的なアシスタントでも誤解を招く指示や悪意のあるリンクを表示することができました。これは典型的な「直接的」プロンプトインジェクションとは大きく異なり、ユーザーは信頼できるページとやり取りしているつもりでも、隠されたフラグメントが攻撃者のリンクを供給したり、バックグラウンドで呼び出しをトリガーしたりします。 Catoの開示タイムラインによると、GoogleとMicrosoftは8月にHashJackについて通知され、Perplexityには7月に報告されました。Googleは「修正しない（意図した動作）」かつ低リスクと分類し、PerplexityとMicrosoftはそれぞれのAIブラウザに修正を適用しました。 「Microsoftでは、間接的なプロンプトインジェクション攻撃への対策は単なる技術的な課題ではなく、絶えず変化するデジタル環境でユーザーの安全を守るための継続的な取り組みであると理解しています」とRedmondは声明で述べています。「当社のセキュリティチームは常に新たな亜種に目を光らせており、それぞれを徹底的に調査すべき独自のシナリオとして扱っています。この警戒姿勢を維持することで、当社製品が最高水準のセキュリティを満たし続けることを保証しています。」 Catoの調査結果は、セキュリティチームがもはやネットワークログやサーバー側のURLフィルタリングだけに頼って新たな攻撃を検出することができないことを示しています。Catoは、AIガバナンス、不審なフラグメントのブロック、許可するAIアシスタントの制限、クライアント側の監視など、多層的な防御を提案しています。この変化により、組織はウェブサイト自体だけでなく、ブラウザとアシスタントの組み合わせが隠れたコンテキストをどのように扱うかにも目を向ける必要があります。 AIブラウザが一般利用の瀬戸際にある今、HashJackは、長らくサーバーの脆弱性やフィッシングサイトに限定されていた脅威の一部が、ブラウジング体験そのものの中に入り込む可能性を警告しています。® 翻訳元:

: Hashtag-do-whatever-I-tell-you

Cato Networksが報告した「HashJack」は、正規サイトのURLフラグメントを悪用し、Copilot in EdgeやGemini in Chrome、PerplexityのCometなどAIブラウザーアシスタントに隠れた命令を実行させる間接プロンプトインジェクション攻撃である。

Analyse technique de la technique HashJack et recommandations pour protéger les assistants IA intégrés aux navigateurs.

Les chercheurs de Cato Networks viennent de publier leurs travaux sur une nouvelle technique d’attaque baptisée HashJack , et l’idée c’est d’exploiter les fragments d’URL, vous savez le petit # suivi d’un truc à la fin des adresses web, pour injecter des instructions malveillantes dans les assistants IA intégrés aux navigateurs. En temps normal, tout ce qui se trouve après le # dans une URL ne quitte jamais votre navigateur et c’est utilisé pour naviguer vers une section précise d’une page web, et les serveurs web ne voient jamais cette partie. Du coup, les outils de sécurité réseau non plus. Et c’est justement là que ça devient vicieux… Car les assistants IA comme Gemini dans Chrome, Copilot dans Edge ou Comet de Perplexity ont accès à l’intégralité de l’URL, fragment compris. Un attaquant peut donc crafter une URL d’apparence légitime avec des instructions cachées après le #, et quand vous demandez à votre assistant IA de vous aider avec cette page, il va gentiment exécuter les commandes planquées. Cato Networks décrit ça comme la première injection de prompt indirecte capable de transformer n’importe quel site légitime en vecteur d’attaque. D’après les tests de l’équipe de Cato, les scénarios d’attaque possibles sont variés puisque ça va du phishing classique où l’assistant vous donne un faux numéro de téléphone à appeler, à l’exfiltration de données vers des serveurs contrôlés par l’attaquant. Y’a aussi la désinformation avec de fausses infos boursières ou médicales, ou encore des instructions détaillées pour installer des backdoors. Bref, c’est le jackpot pour les attaquants. Niveau compatibilité de l’attaque, les trois principaux touchés sont Gemini pour Chrome, Copilot pour Edge et Comet de Perplexity. Bonne nouvelle quand même, Claude pour Chrome et Atlas d’OpenAI ne sont pas vulnérables, puisqu’iils n’accèdent pas directement aux fragments d’URL. Côté réponse des éditeurs, c’est un peu le grand écart puisque Perplexity a classé le problème comme critique et a appliqué un correctif, Microsoft a fait pareil pour Copilot fin octobre mais par contre, Google a décidé de classer ça comme un “ comportement attendu ” et a marqué le bug en “ Won’t Fix ”. Argh !! Donc si vous utilisez Gemini dans Chrome, vous êtes toujours exposé les amis ! Après faut relativiser quand même car l’attaque nécessite plusieurs étapes d’interaction de la part de l’utilisateur. C’est pas juste cliquer sur un lien et hop vous êtes pwned. Il faut visiter la page vérolée ET demander à l’assistant IA d’interagir avec le contenu. Mais bon, vu que de plus en plus de gens utilisent ces assistants pour des tâches quotidiennes, le risque existe. D’ailleurs, HashJack s’inscrit dans une tendance plus large. Brave a publié une étude montrant que l’injection de prompt indirecte est un défi systémique pour toute la catégorie des navigateurs boostés à l’IA et des techniques similaires ont été testées avec succès contre Atlas de ChatGPT et d’autres. Même le CISO d’OpenAI admet que, je cite “ l’injection de prompt reste un problème de sécurité non résolu à la frontière de la recherche ”. Voilà, si vous utilisez un Navigateur IA, soyez vigilant sur les URLs bizarres qu’on vous envoie et si c’est Gemini dans Chrome, peut-être qu’il vaut mieux attendre que Google se décide à considérer ça comme un vrai problème de sécu… ces fous ! Source

At AllSafeUs Research Labs, our commitment lies in dissecting emerging cyber threats and providing actionable intelligence to fortify digital defenses. The recent mention of a "HashJack AI Browser Attack" alongside updates on the "Charming Kitten Leak" and the unmasking of threat actors underscores a rapidly evolving and increasingly complex threat landscape. This analysis delves into the technical intricacies of AI-driven browser exploitation and contextualizes it within broader geopolitical and criminal cyber activities.