C’è qualcosa di inquietante nella semplicità. Un singolo carattere, il cancelletto #, quel simbolo che usiamo quotidianamente per gli hashtag sui social, per navigare tra le sezioni di una pagina web, per organizzare le nostre conversazioni digitali. Innocuo, familiare, parte del linguaggio quotidiano di internet. Eppure, nelle mani sbagliate, questo carattere si è trasformato in un’arma silenziosa capace di manipolare l’intelligenza artificiale integrata nei nostri browser. Si chiama HashJack, ed è stato scoperto dai ricercatori di Cato Networks come la prima tecnica di indirect prompt injection in grado di trasformare qualsiasi sito web legittimo in un vettore d’attacco invisibile.
Il meccanismo alla base di HashJack sfrutta una caratteristica tecnica degli URL nota come fragment identifier, quella porzione di indirizzo web che segue appunto il simbolo #. Per chi mastica un po’ di tecnologia, è noto che questo frammento non viene mai trasmesso al server durante una richiesta HTTP: rimane confinato nel browser, gestito interamente lato client. È proprio in questo spazio invisibile alla rete che gli aggressori nascondono istruzioni malevole, pensate non per essere lette dall’utente, ma dall’assistente di intelligenza artificiale che opera silenziosamente nel browser: Copilot in Microsoft Edge, Gemini in Google Chrome, o il browser Comet di Perplexity AI.
Immaginate la scena. Ricevete un link via email o lo trovate su un social network. L’URL punta a un sito che conoscete, magari una testata giornalistica autorevole o un portale di e-commerce che frequentate abitualmente. Cliccate, la pagina si carica normalmente, nessun campanello d’allarme. Il dominio è quello giusto, il certificato di sicurezza è valido, tutto sembra in ordine. Ma dopo il cancelletto, invisibile nella massa di caratteri dell’URL, c’è un prompt nascosto. Quando decidete di chiedere all’assistente AI integrato nel browser di riassumervi l’articolo o di aiutarvi a trovare un’informazione specifica sulla pagina, ecco che il modello linguistico processa anche quel frammento malevolo, interpretandolo come un’istruzione legittima da eseguire.
La pericolosità di HashJack risiede in una doppia invisibilità che lo rende particolarmente insidioso. Da un lato, elude completamente i controlli di rete tradizionali: firewall, sistemi di intrusion detection, analizzatori di traffico non vedono il fragment identifier perché questo non viaggia mai attraverso la rete. Dall’altro, si mimetizza perfettamente nell’interfaccia utente, l’hostname è autentico, il sito è quello che ci aspettiamo, e l’utente medio non ha motivo di sospettare che il proprio assistente digitale stia operando sotto l’influenza di comandi iniettati da un aggressore. Vitaly Simonovich, il ricercatore di Cato Networks che ha guidato la scoperta, definisce questo attacco come uno sfruttamento su due livelli di fiducia consolidata: quella verso i domini conosciuti e quella verso gli strumenti di intelligenza artificiale. In sostanza, HashJack converte siti legittimi in complici inconsapevoli di un attacco subdolo, senza che questi debbano essere compromessi, bucati o modificati in alcun modo. È il contesto d’uso, l’interazione con l’AI, a trasformare un link innocuo in un potenziale pericolo.
Durante i test condotti dai ricercatori, sono emersi diversi scenari di sfruttamento concreti. I browser AI dotati di funzionalità basate su agenti autonomi, come Comet, possono essere indotti con l’inganno a trasmettere dati sensibili degli utenti verso server controllati dagli aggressori. Altri assistenti possono essere manipolati per visualizzare link di phishing mascherati da raccomandazioni legittime, oppure per diffondere istruzioni fuorvianti che sembrano provenire dal sito autentico. Le conseguenze spaziano dal furto di credenziali e dati personali, alla diffusione di disinformazione, fino a scenari potenzialmente pericolosi per la salute fisica degli utenti, come raccomandazioni errate sul dosaggio di farmaci generate da un’intelligenza artificiale compromessa.
Il tasso di successo di questi attacchi è significativamente più alto rispetto al phishing tradizionale, proprio perché l’utente visualizza un sito web familiare e tende a fidarsi ciecamente delle risposte fornite dall’assistente AI, percepito come uno strumento neutro e affidabile. Non c’è il tipico errore grammaticale dell’email truffaldina, non c’è il dominio storpiato che dovrebbe farci drizzare le antenne. C’è solo un’interazione apparentemente normale con la propria intelligenza artificiale di fiducia. Le reazioni dei colossi tecnologici alla scoperta di HashJack sono state quanto meno divergenti, e rivelano approcci profondamente diversi alla sicurezza dell’intelligenza artificiale. I ricercatori hanno informato Perplexity della vulnerabilità a luglio 2024, mentre Google e Microsoft sono stati contattati ad agosto. Microsoft e Perplexity hanno preso sul serio la segnalazione e hanno rapidamente implementato patch correttive per i rispettivi browser, riconoscendo la gravità del problema. Microsoft, in particolare, ha sottolineato che la protezione contro le iniezioni indirette di prompt rappresenta un processo continuo e dinamico, data l’evoluzione costante delle tecniche di attacco in questo campo emergente.
Google, invece, ha assunto una posizione che ha sollevato più di qualche sopracciglio nella comunità della sicurezza informatica. Il gigante di Mountain View ha classificato HashJack come comportamento previsto, assegnandogli un livello di gravità basso e rifiutandosi di implementare una correzione. Questa risposta suggerisce una filosofia secondo cui certe vulnerabilità dell’intelligenza artificiale non siano bug da correggere, ma caratteristiche intrinseche del funzionamento dei modelli linguistici. Una posizione che molti esperti considerano pericolosa, soprattutto considerando la rapida diffusione di assistenti AI in strumenti di uso quotidiano. Dal punto di vista tecnico, HashJack evidenzia un limite strutturale delle difese tradizionali che abbiamo costruito negli ultimi decenni per proteggere i nostri sistemi informatici. Le misure di sicurezza convenzionali sono state progettate per un’era in cui la minaccia viaggiava attraverso la rete, dove poteva essere intercettata, analizzata, bloccata. Ma quando l’attacco si consuma interamente lato client, quando opera nello spazio semantico dell’interpretazione del linguaggio naturale da parte di un modello di intelligenza artificiale, questi strumenti diventano ciechi.
I modelli linguistici, per loro natura, faticano a distinguere tra input legittimi e istruzioni malevole quando queste vengono inserite in contesti apparentemente innocui. Non esistono ancora firme digitali per i prompt, non ci sono pattern matching che possano identificare con certezza un comando dannoso nascosto in un fragment URL. Il confine tra una domanda lecita e una manipolazione è sfumato, soggettivo, dipendente dal contesto in modi che le nostre attuali tecnologie di sicurezza non sono equipaggiate per gestire. La risposta a HashJack, suggeriscono gli esperti di Cato Networks nel loro rapporto tecnico, non può essere solamente tecnologica ma deve abbracciare una strategia di difesa multilivello. Le organizzazioni devono implementare politiche di AI governance che definiscano chiaramente come e quando gli assistenti di intelligenza artificiale possano accedere a contenuti esterni. Serve un controllo granulare sull’uso di questi strumenti, sistemi di filtraggio lato client capaci di identificare fragment URL sospetti, limitazioni sull’elenco degli assistenti AI autorizzati, e un monitoraggio attento dell’attività dei browser dotati di funzionalità di intelligenza artificiale.
In pratica, le aziende ora devono analizzare non solo i siti web in sé, ma la combinazione specifica browser più assistente AI che elabora il contesto nascosto. È un cambio di paradigma che richiede competenze nuove, strumenti nuovi, una mentalità nuova. La superficie d’attacco si sta spostando sempre più verso l’interazione uomo-macchina, in uno spazio che credevamo consolidato e sotto controllo: il browser web. HashJack rappresenta un segnale d’allarme che non possiamo permetterci di ignorare. Mentre l’intelligenza artificiale diventa sempre più agente e sempre meno strumento passivo, mentre acquisisce la capacità di compiere azioni autonome in base all’interpretazione del linguaggio naturale, il confine tra comando legittimo e manipolazione rischia di assottigliarsi in modo pericoloso. Siamo entrati in un’era dove la fiducia cieca nella tecnologia può essere sfruttata in modi nuovi e sottili.
