Forschende des Sicherheitsanbieters Cato Networks haben mit Hashjack eine neue Angriffstechnik
vorgestellt, bei der unsichtbare Befehle im URL-Teil hinter dem Rautezeichen ausreichen, um integrierte KI-Browserassistenten auf eigentlich seriösen Websites zu steuern. Nach ihrer Analyse handelt es sich um eine spezielle Form der Prompt-Injection, bei der das Sprachmodell nicht über den sichtbaren Chat, sondern über Text in der Adresse beeinflusst wird. KI-Browser wie Comet von Perplexity, Copilot in
Microsoft Edge und Gemini für Chrome senden laut Cato die komplette URL inklusive Fragment an das Modell, das den Text hinter dem "#" wie eine normale Nutzereingabe interpretiert.
Nach Angaben von Cato wird der Teil der Adresse hinter dem Rautezeichen nur im Browser ausgewertet und taucht weder in Serverlogs noch in klassischen Sicherheits- oder Netzwerktools auf, sodass Schutzmechanismen nur die unauffällige Basis-URL sehen. In der Analyse werden als mögliche Folgen unter anderem gefälschte Support-Hinweise mit manipulierten Kontaktdaten, irreführende Finanz- oder Medizininformationen, Anleitungen zum Download schädlicher Programme sowie Phishing-Links beschrieben, die wie Teil einer legitimen Seite wirken und zur Eingabe von Zugangsdaten verleiten. In agentenbasierten KI-Browsern wie Comet beobachteten die Forschenden zudem, dass der Assistent im Hintergrund automatisch Kontextdaten wie Kontoangaben oder Kontaktdaten an Server der Angreifer senden kann.
Den Forschern zufolge wurden die betroffenen Anbieter im Sommer 2025 informiert. Microsoft habe das Verhalten bei Copilot in Edge Ende Oktober korrigiert, Perplexity den KI-Browser Comet im November mit einem Fix versehen. Für Gemini in Chrome führt Cato aus,
Google habe das Verhalten als beabsichtigt eingestuft und keinen Korrekturbedarf gesehen, weshalb Hashjack dort nach aktuellem Stand weiter möglich sei.
(dow)
