AI哈希劫持攻击确认，浏览器安全再受威胁

快速阅读: 安全研究人员警告新型AI黑客技术HashJack，该技术通过在URL的#符号后隐藏恶意指令，实现传播虚假信息、数据泄露及凭证盗窃等多种攻击，影响包括亚马逊在内的多家公司，3亿客户面临风险。

警惕HashJack浏览器攻击。

当前有两个重要的安全问题值得关注：一是网络浏览器漏洞，二是与人工智能相关的威胁。因此，当安全研究人员发出关于结合了这两种威胁的警告时，我们必须提高警惕。HashJack是最新发现的一种黑客技术，据研究人员称，这种技术可以用于传播虚假信息甚至窃取用户凭证。以下是您需要了解的信息。

亚马逊发布攻击警报——3亿客户面临风险

作者：Davey Winder

HashJack AI攻击解析

AI提示注入攻击并非新鲜事，其历史几乎与生成式AI服务一样悠久。谷歌已经开发了多种资源和工具来对抗Gemini所面临的此类提示注入风险。然而，网络犯罪分子仍在不断寻找绕过这些保护措施的方法，以利用恶意提示。例如，GhostGPT这样的系统就被网络犯罪分子广泛用于创建恶意软件和钓鱼诈骗信息。

现在，Cato Networks的Cato CTRL威胁研究团队的安全研究人员证实了一种新的AI黑客工具——HashJack。

“HashJack是一种新发现的间接提示注入技术，它将恶意指令隐藏在合法URL的#符号之后。”Cato CTRL的高级安全研究员Vitaly Simonovich表示，“当AI浏览器将整个URL，包括片段部分发送给AI助手时，这些隐藏的提示就会被执行。”这确实像听起来那样严重，因为它可以实现多种恶意和犯罪行为。

黑客绕过Signal、Telegram和WhatsApp加密读取消息

作者：Davey Winder

HashJack AI攻击场景

HashJack能够有效地将普通网站武器化，据我所知，在此类威胁中这是独一无二的。Web服务器并不知道，URL中#符号之后的所有内容会被AI浏览器处理，而不是普通的浏览器，从而以完全隐蔽的方式实现提示注入攻击。

Cato的报告探讨了六种潜在的HashJack攻击场景，分别是：回调钓鱼、数据泄露、虚假信息、恶意软件指导、医疗危害和凭证盗窃。

– 回调钓鱼涉及攻击者使用隐藏提示指示浏览器添加指向威胁行动者的“安全或支持链接”，包括看起来官方的电话号码和WhatsApp群组。

– 数据泄露涉及使用隐藏片段告诉代理浏览器访问威胁行动者的URL，并“将用户名、账户号、交易记录、个人资料邮箱和电话号码等用户上下文作为参数附加”。

– 凭证盗窃涉及在URL片段中嵌入“令人信服的安全步骤或重新登录指示”，指示AI浏览器助手在响应中插入由威胁行动者控制的登录链接。

不要下载这些Windows安全更新，专家警告

作者：Davey Winder

Simonovich发布了关于AI HashJack攻击漏洞的报告和修复时间表，显示Google Gemini尚未解决，Microsoft CoPilot for Edge于10月27日修复，Perplexity（Comet）于11月18日修复。我已经联系谷歌寻求进一步澄清。

(以上内容均由Ai生成)