AI瀏覽器被曝重大安全漏洞,2分30秒內完成盜號

21世紀經濟報道記者肖瀟

AI瀏覽器的安全隱患再被警示。

近日，AI搜索明星公司Perplexity的瀏覽器Comet被曝存在重要安全漏洞。攻擊者無需懂代碼，只需在論壇評論區留下惡意指令，就能誘導 AI 智能體泄露用戶的郵箱、驗證碼等敏感信息。

Comet是Perplexity公司上個月發佈的AI原生瀏覽器，目前面向付費用戶開放。與傳統瀏覽器不同，它幾乎在所有瀏覽場景裡嵌入了 AI：用戶既能在搜索欄直接發問，也能在瀏覽網頁時隨時喚出 AI，讓其讀屏、填表、寫郵件和預訂機票。

這一漏洞最先由競爭對手 Brave 瀏覽器的美國安全團隊發現。他們在測試過程中僅做了兩步：

第一步，在 Reddit 論壇一篇帖子下，留下帶“劇透標籤”的惡意指令，讓用戶無法看到具體內容；

第二步，當 Comet 用戶點擊“總結當前網頁”時，AI 智能體會讀取這條隱藏指令並自動執行。

最終AI智能體拿到了用戶的郵箱地址，拿到驗證碼和一次性密碼（OTP），完成盜號。整個過程耗時2分30秒。

從演示視頻中還可以看到，由於AI智能體的部分後臺操作只有文字描述，沒有界面展示，所以用戶也並沒有看到AI在登錄自己的郵箱。

Brave安全團隊暗示，他們早在7月25日就將這一安全漏洞報告給了Perplexity，但似乎沒有得到重視。儘管Perplexity宣稱進行了初步修復，但 Brave 隨後兩次驗證發現問題仍未完全解決，而且Perplexity也沒有分享修復方案。

Perplexity 質疑了這一說法。一位發言人告訴媒體，該安全漏洞“在任何人發現之前就已修復”，並表示沒有用戶數據被泄露。“我們直接與 Brave 合作，識別並修復了這個問題。”

需要指出，Brave瀏覽器也提供了AI智能體Leo，但公司稱，自身“網頁總結功能”僅限於內容分析，無法指示 AI 執行獨立操作。不過其也承認，所有AI智能體都在面臨類似的挑戰：傳統網絡安全體系已經不足，需要全新的安全與隱私架構。

“隨着用戶逐漸習慣AI瀏覽器，並開始將銀行、醫療保健和其他重要網站的敏感數據授權給AI，風險就會成倍增加，如果AI出現幻覺，執行你未請求的操作該怎麼辦？更糟糕的是，如果是一個看似無害的網站，或者社交媒體裡的評論，通過隱形指令的方式來竊取你的登錄憑證，又該怎麼辦？”Brave在博客中寫道。

在全球範圍內，智能體已成爲2025年的核心戰場。除了海外激烈佈局的蘋果、Anthropic、谷歌、OpenAI，國內的百度、字節、騰訊、阿里也已全面投入。

此前21記者報道過，“間接提示詞攻擊”是目前AI智能體的核心安全風險之一。攻擊者可通過網頁、PDF 或聊天消息注入隱藏指令，讓大模型偏離用戶原始請求。（詳見：《智能體體檢報告——安全全景掃描》）

“現在一些智能體的交互界面非常簡潔，也沒有複雜的數據輸入接口，大家會誤以爲被攻擊的可能性變小了。”一家互聯網大廠安全團隊的負責人對21記者談到，但這反而讓開發者掉以輕心，忽視了新型攻擊的隱蔽性。

一個已發生的案例是，瑞士人工智能安全研究公司Invariant Labs在今年4月測試發現，可以劫持智能體竊取 WhatsApp 用戶的聊天記錄。儘管大部分智能體在執行敏感操作任務時需要用戶手動確認，但攻擊者可以把“惡意指令”隱藏在一段超長的滾動消息中，用戶很難察覺。

而在這類攻擊頻頻出現後，業界也在嘗試不同的安全架構。

Brave 提出的思路是爲 AI 瀏覽器建立“四道防線”：第一，AI瀏覽器應該區分用戶指令和網站內容，不能把網頁內容也視爲指令；第二，AI智能體要單獨檢查，執行任務是否符合用戶原始要求；第三，安全和隱私敏感的操作都需要用戶的明確確認；第四，AI代理模式與常規瀏覽模式需要隔離。

而另一類做法，則是從系統層面徹底換一種思路。谷歌、OpenAI、Anthropic 等公司目前都避免推出與Comet類似的功能，而是轉向虛擬機、雲上瀏覽器模式。國內的阿里巴巴的無影雲，以及智譜最新的 AutoGLM“虛擬手機”，也是類似的探索。

〖免責申明〗本文僅代表本賬號個人觀點，其圖片及內容版權僅歸原所有者所有。如對該內容主張權益請來函或郵件告之，本賬號將迅速採取措施，否則與之相關的糾紛本賬號不承擔任何責任。