🔐 HashJack: la nuova minaccia per i Browser AI

Negli ultimi mesi è emerso HashJack, un attacco di prompt injection indiretta che sfrutta un punto spesso ignorato degli URL: il fragment, cioè tutto ciò che si trova dopo il simbolo #.

🚨 Cos’è HashJack

HashJack permette di inserire istruzioni malevole nel fragment di un URL.La pagina web resta perfettamente “pulita”, ma quando un browser AI o un agente automatizzato passa l’URL completo al modello, quelle istruzioni nascoste diventano parte del prompt.

Questo può portare a:

• phishing automatico

• esfiltrazione di dati

• generazione di link malevoli

• disinformazione

• manipolazione delle risposte dell’AI

• comandi eseguiti senza che l’utente se ne accorga (nei browser “agentic”)

È un attacco particolarmente subdolo perché sfrutta un comportamento legittimo del browser, non una vulnerabilità classica del sito.

🛡 Come viene mitigato (in questa versione)

Il sistema adotta diverse precauzioni mirate:

• tutto ciò che si trova dopo “#” viene considerato potenzialmente ostile

• i frammenti URL non vengono interpretati come istruzioni affidabili

• vengono applicati filtri di sicurezza e controlli di coerenza per bloccare prompt injection indirette

• le istruzioni provenienti da URL e contenuti web non sono considerate automaticamente attendibili

Sono mitigazioni importanti, ma — come sempre in sicurezza — nessun sistema può essere considerato “immune”.

🎯 A chi interessa davvero

HashJack riguarda in particolare:

• Agent Browser e agenti AI che visitano siti o automatizzano operazioni

• Sviluppatori di prodotti AI che integrano browsing, scraping o automazione

• Cybersecurity team che monitorano superfici d’attacco emergenti

• Aziende che usano agenti AI per workflow critici o gestione dati

• Ricercatori in AI Safety che studiano vulnerabilità di prompt injection

• IT / DevSecOps che devono validare l’uso di strumenti AI nel loro ecosistema

In sintesi: chiunque utilizzi un assistente AI che interagisce con il web.

🏷 Chi ha preso sul serio il problema (e come ha reagito)

✅ Hanno corretto rapidamente

• Comet (Perplexity)

• Vulnerabilità considerata “critical”

• Patch rilasciata il 18 novembre 2025

• Attacco particolarmente pericoloso perché Comet può eseguire fetch automatici e azioni agentiche

• Copilot for Edge (Microsoft)

• Patch rilasciata il 27 ottobre 2025

• Aggiunte misure di defence-in-depth per prevenire varianti dell’attacco

⚠ Reazione controversa / non risolta

• Gemini for Chrome (Google)

• L’attacco funziona

• Google lo ha classificato come “intended behavior”

• Al momento non è prevista correzione

➖ Altri browser / agenti AI

• Alcuni assistenti (come versioni non-agentiche o strumenti con controlli più rigidi) non risultano vulnerabili ai test.

• Altri prodotti emergenti potrebbero essere vulnerabili senza saperlo: HashJack è nuovo e ancora poco conosciuto.

⚠ Limiti & buone pratiche

Anche con mitigazioni efficaci, gli attacchi di jailbreak e prompt injection continuano a evolversi.Per questo è importante:

• evitare link sospetti o URL con fragment lunghissimi

• non condividere dati sensibili tramite browser AI o agenti automatizzati

• mantenere aggiornati modelli, estensioni, plugin e policy aziendali

• monitorare tool AI che navigano il web autonomamente

#browser #cybersecurity #AI