Cato Networks ha detectado un fallo llamado HashJack que oculta instrucciones maliciosas tras el ‘#’ de URLs legítimas, engañando a los asistentes de navegadores con IA para que ejecuten esas órdenes y eviten defensas tradicionales de red y servidor.
La prompt injection ocurre cuando un texto no escrito por el usuario se convierte en comandos para un modelo de IA. La inyección directa sucede cuando el texto no deseado entra en el prompt; la inyección indirecta ocurre cuando contenido de una página, PDF o documento que la IA resume contiene órdenes ocultas que la IA sigue como si viniesen del usuario. Los navegadores IA, diseñados para inferir la intención y actuar de forma autónoma, han mostrado vulnerabilidad ante la inyección indirecta, ya que buscan ser útiles y, a veces, ayudan a atacantes.
HashJack es descrito por Cato como ‘la primera inyección de prompts indirecta que puede convertir en arma cualquier sitio web legítimo para manipular a los asistentes de navegador IA’. El método consiste en insertar instrucciones maliciosas en la parte de fragmento de URLs legítimas, que luego son procesadas por asistentes como Copilot en Edge, Gemini en Chrome y Comet de Perplexity AI; como los fragmentos de URL nunca salen del navegador IA, las defensas de red y servidor no pueden verlas, convirtiendo sitios web de confianza en vectores de ataque.
La técnica funciona añadiendo un ‘#’ al final de una URL normal, sin alterar su destino, y luego añadiendo instrucciones maliciosas tras ese símbolo. Cuando un usuario interactúa con una página mediante su asistente de navegador IA, esas instrucciones alimentan al modelo de lenguaje y pueden activar resultados como exfiltración de datos, phishing, desinformación, orientar sobre malware o incluso dar indicaciones médicas erróneas.
‘Este descubrimiento es especialmente peligroso porque arma sitios web legítimos a través de sus URLs. Los usuarios ven un sitio de confianza y confían en su navegador IA y en la salida del asistente IA’, dijo Vitaly Simonovich, investigador de Cato Networks.
En pruebas, Cato CTRL (la unidad de investigación de amenazas) encontró que navegadores IA con agentes, como Comet, podrían recibir órdenes para enviar datos del usuario a endpoints controlados por atacantes, mientras que asistentes más pasivos podrían mostrar instrucciones engañosas o enlaces maliciosos. Esto marca una diferencia con las inyecciones directas, porque los usuarios creen que solo interactúan con una página de confianza.
La divulgación de Cato indica que no se puede depender únicamente de logs de red o del filtrado de URLs en el servidor para detectar ataques emergentes. Se recomienda una defensa en capas: gobernanza de IA, bloqueo de fragmentos sospechosos, restringir qué asistentes IA están permitidos y monitorear el lado cliente; el enfoque debe mirar más allá de la propia página y considerar cómo navegador + asistente manejan el contexto oculto.
Con los navegadores IA a punto de volverse de uso general, HashJack advierte que esa clase de amenazas podría vivir dentro de la experiencia de navegación, no solo en servidores o sitios de phishing.
Fuentes: The Register y Cato Networks.
En el timeline de divulgación, Google y Microsoft fueron alertados en agosto; Google clasificó el fallo como ‘won’t fix’ y de baja gravedad, mientras Perplexity y Microsoft aplicaron parches a sus navegadores de IA.
Microsoft afirmó que defender contra la inyección indirecta es un compromiso de seguridad continuo, con su equipo de seguridad revisando variantes para mantener altos estándares.
Cato recomienda defensas en capas que cubran gobernanza de IA, bloqueo de fragmentos sospechosos y monitoreo del lado del cliente, recordando que la seguridad debe ir más allá del sitio web para abordar el manejo del contexto oculto en la combinación navegador + asistente.
