Cato CTRL’deki güvenlik araştırmacıları HashJack’i ortaya çıkardı. Bu yenilikçi dolaylı istem enjeksiyon saldırısı, URL’lerin “#” simgesinden sonraki parça kısmındaki zararlı komutları gizler.
Bu teknik, güvenilir web sitelerini Perplexity’nin Comet’i, Microsoft’un Edge’deki Copilot’u ve Chrome’daki Google’ın Gemini’si gibi AI tarayıcı asistanlarına karşı silahlara dönüştürür.
Saldırı Nasıl Ortaya Çıkıyor?
HashJack temel bir web standardından yararlanır: URL parçaları tamamen tarayıcıda işlenir ve asla sunuculara ulaşmaz, IDS/IPS’den, CSP kurallarından ve ağ günlüklerinden kaçar.
Bir AI tarayıcısı sayfayı yüklediğinde ve kullanıcılar gömülü asistanla etkileşime girdiğinde, hizmetler hakkında soru sorarak gizli parça da dahil olmak üzere tam URL, LLM’nin içerik penceresine eklenir.
Bu, enjekte edilen talimatları tetikleyerek yanıtları sanki sitenin kendisinden geliyormuş gibi sorunsuz bir şekilde değiştirir.
Zincir beş adımdan oluşuyor: bozuk URL’nin oluşturulması, kullanıcının yasal siteye gitmesi, sayfa bağlamıyla AI asistanının etkinleştirilmesi, istemin içine parça eklenmesi ve bağlantı ekleme veya veri çıkarma gibi kötü niyetli yürütme.
Comet (sürüm 138.0.7204.158) gibi aracı tarayıcılarda bu durum tırmanıyor: Yapay zeka, hesap numaraları veya e-postalar gibi alıntılanmış ayrıntılara sahip saldırganın uç noktalarını otonom bir şekilde getirebilir.
Copilot (Edge 139.0.3405.102) ve Gemini (Chrome 139.0.7258.128) gibi aracı olmayanlar hâlâ kimlik avı bağlantıları veya yanlış bilgiler görüntülüyor. Ancak Edge tıklamaları engeller ve Chrome sıklıkla arama sonuçlarına yönlendirir.
Dolaylı istem enjeksiyonu, modelin aldığı harici verilere komutlar yerleştirmesi nedeniyle doğrudan saldırılardan farklılık gösterir; bu da modellerin güvenilmeyen girişler için izolasyona sahip olmaması nedeniyle artan bir LLM riski oluşturur.
Cato, demo sitelerinde test edildi ve paketlerin yalnızca temel URL’yi taşıması nedeniyle parçaların savunmaları atladığını doğruladı.
Cato altı senaryoyu detaylandırdı. Geri arama kimlik avı, “yeni hizmetler?” gibi sorgular yoluyla sahte destek numaraları (örneğin, WhatsApp bağlantıları) enjekte eder. Comet’teki veri sızıntısı, kredi kontrolleri sırasında saldırganlara profil verilerini gönderiyor.
Yanlış bilgi hisse senedi dalgalanmalarına neden olur; kötü amaçlı yazılım, bağlantı noktası açılışlarına veya SSH anahtarı eklemelerine rehberlik eder; tıbbi sayfalar yanlış dozajları zorluyor; Kimlik bilgisi hırsızlığı sahte oturum açmalara neden olur.
Açıklamalar Temmuz 2025’te başladı: Bugcrowd önceliklendirmesinin ardından kafa karışıklığı 18 Kasım’da düzeltildi; Microsoft, 27 Ekim’de derinlemesine savunma içeren yamaları uyguladı; Google, 25 Kasım itibarıyla çözümlenmemiş olan durumu “amaçlanan davranış” (S4 ciddiyeti) olarak değerlendirdi.
Cato’nun SASE platformu, istemci tarafı yapısına rağmen yapay zeka kısıtlamaları için CASB, kimlik avı için IPS ve kötü amaçlı yazılımlar için NGAM yoluyla karşı koyar.
Bu kusur, AI tarayıcılarının tam URL’lere güvendiğini ve parça temizliği gerektirdiğinin altını çiziyor.
Edge’in benimsenme sayısı 274 milyon kullanıcıya ulaşırken, Comet milyonları izliyor; acil korumalar gerekli hale geliyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.