AI asistenti zabudovaní do moderních prohlížečů jsou stále běžnější, ale ne vždy je jasné, jak přesně fungují ani odkud čerpají instrukce. Nový výzkum ukazuje, že právě tato nejasnost může být problém. Bezpečnostní analytici z Cato Networks popsali techniku nazvanou HashJack. Útočník do URL vloží instrukci až za znak hashtag. Prohlížeč takovou část adresy standardně neposílá na server, zpracuje si ji jen lokálně. Web se zobrazí normálně, ale asistent mezitím vyhodnotí skrytý text jako pokyn a může reagovat, aniž by si toho uživatel všiml.

Proč je to zrádné

Fragmenty za hashtagem nejsou novinka. Běžně slouží k navigaci na stránce a nejsou součástí komunikace se serverem. Právě to ale vytváří mezery v ochraně. Klasické bezpečnostní nástroje vidí jen to, co odchází ze zařízení. Skrytý pokyn zůstane uvnitř prohlížeče, a tedy mimo dosah běžné kontroly. Uživatel navíc dál vidí správnou stránku, což útok maskuje.

Testy ukázaly rozdílné chování jednotlivých asistentů. Někteří se snažili automaticky provádět akce, například odesílat data ven. Jiní zobrazovali zavádějící doporučení nebo zvýhodňovali odkazy, které jen předstíraly důvěryhodný zdroj. Způsob, jakým se asistent zachová, závisí na jeho interní logice, takže reakce se napříč trhem liší.

Zdroj: Shutterstock

Velké technologické firmy dostaly upozornění, ale jejich odezva nebyla jednotná. Někteří výrobci vydali úpravy, jiní označili chování za očekávané vzhledem k tomu, jak asistent pracuje s kontextem stránky. Tato nejednotnost jen potvrzuje, že prostředí AI prohlížečů zatím nemá pevně definovaná bezpečnostní pravidla.

Co z toho vyplývá

HashJack ukazuje, že pouhé sledování síťového provozu nestačí. Pokud není vidět celý kontext zpracovaný přímo v prohlížeči, obrana má mezery. Organizace, které AI asistenty používají, tak musí posílit ochranu na úrovni zařízení. Jde například o přísnější pravidla pro zpracování lokálních instrukcí nebo důkladnější monitoring chování prohlížeče, nikoli jen provozu, který opouští síť.

Zranitelnost zároveň upozorňuje na širší problém. AI asistenti v prohlížečích nejsou jen pasivní nástroj. Dokáží analyzovat obsah stránek, aktivně radit a ve vybraných případech také jednat. Pokud přijímají skrytý vstup, kterého si uživatel nevšimne, vzniká prostor pro manipulaci. A protože vše probíhá uvnitř zařízení, bez záznamu v běžných logovacích nástrojích, chybu lze snadno přehlédnout.

Povědomí o tom, že prohlížeč může zpracovávat něco, co člověk nevidí, je zásadní. Nejde o paniku ani scénáře hollywoodských hackerů, spíše o připomenutí, že nové technologie vždy přinášejí nové typy slabin. AI v prohlížečích nabízí pohodlí, ale zároveň otevírá dvířka, která mohou být za určitých okolností zneužita.

Bezpečnostní komunita proto zdůrazňuje potřebu jasnějších pravidel pro to, jak asistenti nakládají s kontextem stránky. HashJack se dá chápat jako signál k tomu, aby se vývoj prohlížečů posunul směrem k větší transparentnosti. Pokud mají být AI nástroje důvěryhodné, musí být zřejmé, jaké části stránky čtou a jak s nimi pracují.