Panorama e descoberta
O método explora uma limitação de design na forma como alguns AI browsers tratam URLs: o fragmento (portion after '#') normalmente não é transmitido ao servidor e não aparece em logs de acesso, mas os browsers que encaminham a URL completa ao componente de IA acabam expondo esse fragmento ao modelo. Como consequência, um atacante pode compartilhar ou incorporar URLs que parecem apontar para sites legítimos, mas que carregam prompts maliciosos no fragmento, transformando domínios confiáveis em vetores de manipulação sem comprometer o próprio site.
Como funciona tecnicamente
O ataque depende da inclusão de instruções após o símbolo '#'. Como fragmentos nunca deixam o cliente para o servidor em requisições HTTP normais, defesas tradicionais baseadas em análise de tráfego de rede ou logs de servidor não detectam o payload. Além disso, sistemas de detecção e prevenção que analisam apenas o tráfego não enxergam esse conteúdo. O texto do fragmento é, porém, visível ao componente local do browser e — em browsers que repassam a URL completa ao assistente— ao próprio modelo de IA que gera respostas ao usuário.
Seis cenários de ataque identificados
De acordo com a pesquisa da Cato CTRL, os vetores exploráveis por HashJack incluem callback phishing (respostas que exibem números de suporte falsos), exfiltração de dados em browsers agentic (capazes de agir automaticamente), disseminação de desinformação financeira, orientação passo a passo para instalação de malware, instruções perigosas sobre medicamentos (riscos de medical harm) e roubo de credenciais via links de login injetados. A técnica permite que um site legítimo seja “weaponizado” sem ser comprometido.
Testes e respostas de fornecedores
A equipe testou HashJack contra três AI browsers principais e documentou diferenças na resposta dos fornecedores: Perplexity (Comet) aplicou correções, com o status reportado como corrigido em 18 de novembro de 2025; Microsoft corrigiu Copilot for Edge em 27 de outubro de 2025; já o tratamento do problema pela solução da Google (Gemini for Chrome) permanece não resolvido segundo os pesquisadores. As fontes afirmam que o Comet, em modo agentic, chegou a enviar automaticamente dados de usuários — incluindo nomes de conta, histórico de transações e contactos — a endpoints controlados por testadores durante os experimentos.
Por que as defesas tradicionais falham
Fragmentos de URL são intencionalmente mantidos no lado cliente e não transitam em requisições HTTP padrão. Isso cria um ponto cego: logs de servidor e sistemas de detecção baseados em rede registram apenas a URL “limpa”. A pesquisa ressalta que, mesmo usuários atentos podem ser enganados, pois as sugestões geradas pelo assistente aparecem integradas ao contexto do site legítimo visitado.
Implicações e recomendações
Os autores do estudo e especialistas consultados nas matérias recomendam que fornecedores de AI browsers implementem validações estritas do conteúdo recebido pelo assistente, filtrem ou ignorem fragmentos de URL não confiáveis, e limitem a capacidade do agente de executar ações automatizadas sem confirmação explícita do usuário. No caso de browsers agentic, mitigações adicionais devem incluir limites no envio automático de dados a endpoints externos e auditoria de ações realizadas pelo agente. A Google classificou o problema como "Won't Fix (Intended Behaviour)" segundo a cobertura, enquanto Microsoft adotou correção em prazo de dois meses após divulgação.
Limites das informações
O relato público concentra-se na prova de conceito e em testes controlados; as fontes não apresentam uma lista exaustiva de domínios ou URLs usados em ataques reais, nem quantificam incidentes com impacto operacional. As diferenças entre abordagens de fornecedores também permanecem: alguns decidiram corrigir o comportamento, outros entenderam como comportamento intencional.
Conclusão
HashJack representa um vetor novo e de baixo custo operacional para atores maliciosos que querem manipular assistentes integrados em navegadores sem comprometer domínios legítimos. Organizações que avaliam riscos relacionados a assistentes AI e browsers agentic devem revisar a exposição de dados sensíveis via clientes e pressionar fornecedores por controles que evitem interpretação de fragmentos como instruções executáveis.