La sicurezza dei browser assistiti dall'intelligenza artificiale è tornata al centro dell'attenzione dopo la scoperta di una vulnerabilità che sfrutta una componente apparentemente innocua degli indirizzi web: il simbolo del cancelletto (#). Questa tecnica, battezzata HashJack dai ricercatori di Cato Networks, permette di manipolare il comportamento degli assistenti AI integrati nei browser, trasformando anche i siti web più affidabili in potenziali strumenti di attacco. A differenza delle minacce informatiche tradizionali, questa falla bypassa completamente le difese di rete convenzionali, operando esclusivamente sul lato client dell'utente.
Come funziona l'inganno del frammento URL
Il carattere # negli indirizzi internet ha storicamente svolto funzioni tecniche legittime: indica al browser di spostarsi verso una sezione specifica della pagina, può comunicare con il codice JavaScript già caricato, oppure memorizza informazioni sullo stato dell'interfaccia utente. La peculiarità fondamentale di questo elemento è che non viene mai trasmesso al server né attraversa la rete: rimane confinato nel browser o nel codice già presente sul dispositivo dell'utente.
Gli assistenti AI dei browser, progettati per analizzare il contesto della pagina visualizzata, leggono anche questi frammenti URL che seguono il simbolo #. Ed è proprio qui che si annida il pericolo: i malintenzionati possono inserire istruzioni malevole dopo il cancelletto, istruzioni che verranno interpretate dall'intelligenza artificiale come comandi legittimi.
L'insidia delle difese tradizionali impotenti
L'aspetto più preoccupante di HashJack risiede nella sua capacità di eludere completamente i sistemi di protezione esistenti. I firewall di rete, i sistemi di rilevamento delle intrusioni (IPS/IDS) e persino i log dei server risultano completamente ciechi di fronte a questo attacco, dato che la porzione dell'URL successiva al # non viene mai registrata o trasmessa attraverso la rete.
Anche meccanismi di sicurezza più sofisticati come la Content Security Policy non si attivano, poiché tecnicamente nulla viene modificato nella pagina web reale. Si tratta di una zona grigia della sicurezza informatica dove le protezioni consolidate semplicemente non hanno visibilità.
La trappola dell'inganno sociale credibile
L'efficacia di HashJack deriva dalla sua natura di attacco di social engineering estremamente sofisticato. Immaginiamo di ricevere un'email apparentemente dalla nostra banca che ci avvisa di movimenti sospetti sul conto. Passando il mouse sul collegamento, vediamo che punta effettivamente al sito autentico dell'istituto, completo di certificato HTTPS e dominio corretto.
Gli URL bancari sono spesso lunghi e complessi, pieni di parametri tecnici, quindi nulla sembrerà anomalo a prima vista. Tuttavia, nascosto tra questi parametri, dopo un innocente simbolo #, si cela un prompt malevolo destinato all'assistente AI. Una volta aperta la pagina, l'intelligenza artificiale potrebbe suggerire all'utente di contattare un numero telefonico controllato dagli attaccanti o di cliccare su un link WhatsApp fraudolento per ricevere "assistenza" riguardo al presunto problema.
Scenari di attacco multipli
I browser agenti come Comet di Perplexity, che possiedono capacità operative più avanzate rispetto ai semplici assistenti integrati, risultano particolarmente vulnerabili. Un prompt nascosto nell'URL può istruire il browser AI a estrarre informazioni sensibili dall'account dell'utente — cronologia delle transazioni, numero di telefono, dati personali — e inviarle automaticamente al server dell'attaccante come parametri di una richiesta in background.
Le possibilità di sfruttamento spaziano dalla diffusione di fake news e consigli finanziari fraudolenti alla manipolazione di informazioni mediche critiche, come dosaggi farmacologici errati. Altri vettori d'attacco includono istruzioni per aprire backdoor sul computer della vittima, pagine di phishing mascherate da richieste di riautenticazione, o link diretti al download di malware.
Risposte diverse dei giganti tecnologici
La reazione delle aziende coinvolte è stata variegata. Microsoft e Perplexity hanno implementato correzioni per proteggere i loro prodotti, rispettivamente Edge con Copilot e il browser Comet. Google, invece, ha adottato una posizione controversa, non riconoscendo HashJack come una vulnerabilità ma piuttosto come parte del comportamento previsto di Gemini Assistant per Chrome.
I test condotti dai ricercatori hanno rivelato gradi diversi di suscettibilità: mentre tutti i prodotti esaminati risultavano influenzabili nella generazione di testo, l'inserimento di link malevoli si è rivelato più complesso su Gemini Assistant, che riscriveva alcuni collegamenti come URL di ricerca, e su Edge, che richiedeva conferme aggiuntive. Claude per Chrome e il browser Operator di OpenAI, al contrario, sono risultati immuni alla tecnica HashJack.
Secondo i ricercatori di Cato Networks, questa scoperta rappresenta un punto di svolta nella sicurezza informatica perché "arma i siti web legittimi attraverso i loro URL", creando una situazione in cui la fiducia tradizionale verso domini conosciuti diventa un punto debole da sfruttare, amplificato dalla crescente dipendenza degli utenti dagli assistenti AI integrati nei browser.