C’è una nuova, sottile minaccia che sfrutta uno dei simboli più innocui del web – il cancelletto (hashtag) “#” – per aggirare le difese di sicurezza e manipolare gli assistenti IA integrati nei browser. Si chiama HashJack, ed è stata identificata dai ricercatori di Cato Networks come la prima tecnica di indirect prompt injection che trasforma qualsiasi URL legittimo in un vettore d’attacco invisibile.
Tutto ruota attorno al fragment identifier, la parte di URL che segue il “#”. Quel frammento, come molti sanno, non viene mai inviato al server durante una richiesta HTTP: rimane lato client, gestito dal browser. È lì che gli attaccanti nascondono istruzioni malevole pensate per essere lette non dall’utente, ma dall’assistente IA che opera nel browser – come Copilot in Edge, Gemini in Chrome o Comet di Perplexity AI.
Il meccanismo è semplice ma dirompente. Un utente clicca su un link apparentemente normale, magari a un sito affidabile. Aprire la pagina non solleva sospetti: il server riceve la richiesta senza il fragment, quindi i sistemi di monitoraggio del traffico non rilevano anomalie. Ma quando l’utente interagisce con l’assistente IA – chiedendo, ad esempio, un riassunto della pagina – il prompt nascosto dopo il “#” viene incluso nel contesto analizzato dal modello. A quel punto, l’assistente esegue comandi non autorizzati: dalla diffusione di disinformazione alla sottrazione di dati sensibili, fino alla generazione di contenuti dannosi.
La pericolosità di HashJack risiede nella sua doppia invisibilità. Non solo elude i controlli di rete, ma si mimetizza anche nell’interfaccia utente: l’URL nel browser appare familiare, l’hostname è autentico, e l’utente medio non sospetta che il proprio assistente digitale stia operando sotto l’influenza di un prompt iniettato.
Secondo Vitaly Simonovich, ricercatore di Cato Networks, questa tecnica sfrutta un livello di fiducia consolidato: quello verso i domini noti e quello verso gli strumenti di IA. In sostanza, HashJack converte siti legittimi in complici inconsapevoli di un attacco subdolo, senza che questi debbano essere compromessi.
Le reazioni dei vendor sono state divergenti. Google ha classificato il problema come “comportamento previsto” e di bassa priorità, sostenendo che non verrà risolto. Microsoft e Perplexity, al contrario, hanno già implementato mitigazioni nei rispettivi ambienti. Microsoft ha sottolineato come la protezione da prompt injection indiretti richieda un approccio dinamico e continuo, data l’evoluzione delle tecniche di attacco.
Dal punto di vista tecnico, HashJack evidenzia un limite strutturale delle difese tradizionali. I firewall e i sistemi di intrusion detection analizzano il traffico di rete, ma il fragment non viaggia sulla rete. Allo stesso tempo, i modelli di linguaggio naturale faticano a distinguere tra input legittimi e istruzioni malevole quando queste sono inserite in contesti apparentemente innocui.
La risposta, suggeriscono gli esperti, non può essere solo tecnica. Servono politiche di AI governance che definiscano come e quando gli assistenti IA possano accedere a contenuti esterni, unitamente a sistemi di filtraggio lato client e a meccanismi di sandboxing delle funzionalità di agenti autonomi.
HashJack è il segnale che la superficie d’attacco si sta spostando sempre più verso l’interazione uomo-macchina, in uno spazio – il browser – che credevamo sotto controllo. Mentre l’IA diventa sempre più agente e sempre meno strumento, il confine tra comando legittimo e manipolazione rischia di assottigliarsi pericolosamente. E un cancelletto, si scopre, può fare la differenza.