شرکت امنیتی Cato Networks از کشف یک روش نوین و خطرناک برای فریب دادن دستیارهای هوش مصنوعی مرورگرها خبر داده است. این حمله که "HashJack" نام گرفته، با پنهان کردن دستورات مخرب در بخش фрагمنت (Fragment) آدرسهای اینترنتی (URL) معتبر، میتواند دستیارهای مبتنی بر هوش مصنوعی را به انجام اقدامات ناخواسته و خطرناک وادارد. این روش، بهدلیل دور زدن دفاعهای امنیتی سنتی، زنگ خطر جدیدی را برای امنیت سایبری به صدا درآورده است.
HashJack: وقتی یک # ساده تبدیل به ابزار حمله میشود
حمله HashJack نوعی تزریق پرامپت (Prompt Injection) غیرمستقیم است. تزریق پرامپت زمانی رخ میدهد که متنی ناخواسته به یک مدل هوش مصنوعی خورانده شود و آن را به انجام دستوراتی سوق دهد که کاربر اصلی قصد آن را نداشته است. در حالت تزریق مستقیم، دستورات مخرب مستقیماً به ورودی پرامپت وارد میشوند، اما در تزریق غیرمستقیم، محتوای خارجی (مانند یک صفحه وب یا PDF) که دستیار هوش مصنوعی قرار است آن را خلاصه کند، حاوی دستورات پنهانی است که AI آنها را اجرا میکند.
آنچه HashJack را منحصربهفرد میسازد، استفاده از بخش "фрагмент" (Fragment) یک URL است. این بخش که با علامت `#` آغاز میشود (مثلاً `example.com/page#section-id`)، معمولاً برای هدایت مرورگر به قسمت خاصی از یک صفحه وب استفاده میشود و هیچگاه به سرور ارسال نمیشود. همین ویژگی باعث میشود دستورات مخرب پنهانشده پس از علامت `#`، از دید دفاعهای شبکه و سرور پنهان بمانند و مستقیماً توسط دستیارهای هوش مصنوعی مرورگرها مانند Copilot در Edge، Gemini در Chrome و Comet از Perplexity AI پردازش شوند. Cato این حمله را اولین تزریق پرامپت غیرمستقیم شناخته شده میداند که میتواند هر وبسایت معتبری را به ابزاری برای دستکاری دستیارهای هوش مصنوعی مرورگر تبدیل کند.
نحوه عملکرد حمله HashJack و دور زدن دفاعهای امنیتی
مکانیزم حمله HashJack به سادگی اضافه کردن یک `#` به انتهای یک URL عادی و سپس افزودن دستورات مخرب پس از آن است. این کار مقصد URL را تغییر نمیدهد، اما زمانی که کاربر با صفحه از طریق دستیار هوش مصنوعی مرورگر خود تعامل میکند، آن دستورات پنهان به مدل زبان بزرگ (LLM) وارد شده و میتوانند نتایج خطرناکی را رقم بزنند. این پیامدها شامل موارد زیر میشوند:
استخراج دادهها: ارسال اطلاعات حساس کاربر به نقاط پایانی تحت کنترل مهاجم.
فیشینگ و کلاهبرداری: نمایش لینکهای مخرب یا دستورالعملهای گمراهکننده.
اشاعه اطلاعات غلط: ارائه اطلاعات نادرست و دستکاریشده.
راهنمایی بدافزار: کمک به کاربران برای دانلود یا اجرای بدافزارها.
آسیب پزشکی: ارائه اطلاعات غلط پزشکی، مانند دوز اشتباه داروها که میتواند عواقب جانی داشته باشد.
برخلاف حملات فیشینگ سنتی که نیاز به وبسایتهای جعلی دارند، HashJack وبسایتهای معتبر را هدف قرار میدهد. کاربران به این وبسایتها اعتماد دارند و به خروجی دستیار هوش مصنوعی خود نیز اعتماد میکنند، که این امر احتمال موفقیت حمله را به مراتب بالاتر میبرد. این یک تغییر پارادایم در حملات امنیتی است که به جای تمرکز بر آسیبپذیریهای سرور یا فیشینگ، تجربه مرورگر را هدف قرار میدهد.
پیامدهای گسترده حمله HashJack و واکنش شرکتهای بزرگ فناوری
تیم تحقیقاتی Cato CTRL با انجام آزمایشهایی، نشان داد که مرورگرهای هوش مصنوعی توانمند مانند Comet میتوانند به ارسال دادههای کاربر به نقاط پایانی تحت کنترل مهاجم فرمان داده شوند. دستیارهای غیرفعالتر نیز میتوانستند دستورالعملهای گمراهکننده یا لینکهای مخرب را نمایش دهند. این نتایج عمق آسیبپذیری را نشان میدهد.
زمانبندی افشای Cato نشان میدهد که گوگل و مایکروسافت در ماه اوت و Perplexity در ماه ژوئیه از HashJack مطلع شدهاند. واکنش شرکتهای بزرگ فناوری متفاوت بوده است:
گوگل: این حمله را "رفتار مورد انتظار" طبقهبندی کرده و آن را دارای شدت پایین دانسته است. این رویکرد گوگل سؤالاتی را درباره میزان جدیت این شرکت در قبال تهدیدات امنیتی نوین در فضای هوش مصنوعی مطرح میکند.
مایکروسافت و Perplexity: هر دو شرکت برای مرورگرهای هوش مصنوعی خود پچهای امنیتی اعمال کردهاند. مایکروسافت در بیانیهای اعلام کرده است که دفاع در برابر حملات تزریق پرامپت غیرمستقیم یک چالش فنی و تعهدی مداوم برای حفظ امنیت کاربران در چشمانداز دیجیتال در حال تغییر است.
این تفاوت در واکنشها، نشاندهنده نبود یک استاندارد واحد در مواجهه با آسیبپذیریهای هوش مصنوعی است و میتواند برای کاربران نهایی گیجکننده باشد.
چگونه از خود در برابر حملات HashJack و تزریق پرامپت محافظت کنیم؟
کشف حمله HashJack تأکید میکند که تیمهای امنیتی دیگر نمیتوانند صرفاً به لاگهای شبکه یا فیلتر کردن URL در سمت سرور برای شناسایی حملات نوظهور تکیه کنند. با توجه به اینکه مرورگرهای هوش مصنوعی در آستانه پذیرش گسترده قرار دارند، نیاز به رویکردهای دفاعی چندلایه و جامع بیش از پیش احساس میشود. Cato Networks راهکارهای زیر را پیشنهاد میکند:
دفاعهای چندلایه: اعمال کنترلهای امنیتی در لایههای مختلف، از جمله سمت کاربر.
حاکمیت هوش مصنوعی: ایجاد چارچوبها و سیاستهایی برای نحوه تعامل دستیارهای هوش مصنوعی با محتوا.
مسدود کردن фрагمنتهای مشکوک: توسعه مکانیزمهایی برای شناسایی و مسدود کردن بخشهای фрагمنت URL که حاوی دستورات غیرمعمول یا مخرب هستند.
محدود کردن دستیارهای هوش مصنوعی: تنظیم محدودیتهایی برای دستیاران هوش مصنوعی در مورد نوع اقداماتی که میتوانند انجام دهند یا دادههایی که میتوانند به اشتراک بگذارند.
نظارت سمت کاربر: پایش دقیق فعالیتهای دستیار هوش مصنوعی در سمت کلاینت (مرورگر کاربر).
علاوه بر این، آموزش و آگاهیرسانی به کاربران اهمیت حیاتی دارد. کاربران باید نسبت به نحوه عملکرد دستیاران هوش مصنوعی خود و خطرات پنهان در URLها آگاه باشند. با گسترش استفاده از هوش مصنوعی، امنیت دیگر فقط به محافظت از سرورها و شبکهها محدود نمیشود؛ بلکه باید به پویاییهای پنهان و تعاملات هوش مصنوعی در تجربه مرور وب نیز توجه کرد. آینده امنیت سایبری، نیازمند هوشیاری مداوم و رویکردی فراتر از دفاعهای سنتی است.
مطالب مرتبط
- پژوهشگران امنیتی هشدار دادند: بدافزار Sturnus، پیامهای گوشیهای اندرویدی را بدون رمزگشایی میخواند
- تروجان Sturnus: تهدید جدیدی که امنیت پیامرسانهای سیگنال، تلگرام و واتساپ را دور میزند
- سامانه فوریتهای سایبری پلیس فتا در بحران؛ «زمان طلایی» مقابله با هکرها از دست میرود
- حملات سایبری به دانشگاهها به اوج خود رسید: زنگ خطر برای امنیت علمی و اطلاعاتی کشور
