危，AI瀏覽器被曝大漏洞，用户郵箱驗證碼扒精光，盜號僅需150秒

這款知名AI瀏覽器，竟成了藏在用户設備中的「隱私大盜」？ 

智東西8月26日報道，近日，美國瀏覽器公司Brave發佈博客，稱該公司在美國知名AI搜索獨角獸Perplexity打造的AI瀏覽器Comet中發現了一個嚴重安全漏洞，攻擊者可通過在網頁中發佈惡意指令，來操縱AI瀏覽器登錄網站、訪問郵箱、獲取驗證碼，並將這些敏感信息發送給外部攻擊者。全程耗時兩分半，連普通人也能完成這種攻擊。 

▲博客部分內容截圖（圖源：Brave）

Comet本質上是一款能代替用户完成瀏覽器操作的Agent。實驗中，Brave研究團隊在美國貼吧平臺Reddit上發佈了一則貼文，內含惡意指令，並讓Comet總結這一帖子。當閲讀到惡意指令時，Comet會全盤照搬地執行，給用户的信息安全帶來巨大風險。 

這一案例一經發布，便在社交媒體和各大論壇引發熱議。有網友認為，上述操作意味着惡意攻擊者幾乎有可能通過「廣撒網」的方式發佈提示詞攻擊，在用户要求AI總結信息時，直接侵入用户的銀行賬户，造成極大風險。 

還有一名在谷歌工作的大模型安全工程師下場吐槽，稱此類攻擊「並不高級」，而是大模型安全第一課中就應該防範的攻擊類型，看上去Perplexity完全沒有考慮到這一安全問題，更別提派人解決了。 

▲谷歌大模型安全工程師吐槽Comet安全漏洞（圖源：黑客新聞）

Perplexity對待此事的態度，也引發吐槽。有網友認為，Perplexity的首席執行官在問題出現的一個月內，整天都在推特上談論他們應用程序中的更新，沒有表現出任何認真對待此事的跡象。今天，Perplexity還推出了Comet Plus新聞訂閲服務。 

目前，Perplexity和Comet在社交媒體上對這一事件進行了冷處理，並未發帖迴應。Brave稱，他們已經向Perplexity方面報告了這一問題，Perplexity耗時近1個月還未完全修復這一問題。

▲Brave對Perplexity披露問題的時間表（圖源：Brave）

那麼，這種類型的攻擊究竟是如何實現的，而AI瀏覽器、AI Agent產品，又應該通過何種手段來保護用户的隱私呢？ 

01.發條帖子就能進行攻擊，盜號全程耗時兩分半

對Comet瀏覽器的攻擊工作原理極為簡單。攻擊者可以在白色背景上的白色文本、HTML註釋或其他不可見元素中隱藏指令，或者直接將惡意提示詞注入社交媒體平臺上的用户生成內容，例如Reddit評論或Facebook帖子等。 

類似方法曾經被廣泛用於操縱搜索引擎的結果，實現SEO（搜索引擎優化）。例如，有些企業會在網站空白處植入大量熱搜關鍵詞，以提升網站在搜索結果中的排名。 

瀏覽器能讀取網頁中對用户不可見的惡意指令，由於它無法區分應該總結的內容和它不應該遵循的指令，便將所有內容都視為用户請求。注入的命令指示瀏覽器惡意調用工具，例如導航到用户的銀行網站、提取保存的密碼或將敏感信息泄露到攻擊者控制的服務器。 

爲了説明Comet中此漏洞的嚴重性，Brave創建了一個概念驗證演示。演示中，用户訪問的帖子中的一條評論被「劇透標籤」掩蓋，導致用户無法看見其內容。當用户單擊Comet的「總結當前網頁」按鈕時，Comet助手會看到並處理這些隱藏的指令。 

▲Brave實驗中發佈的惡意帖子（圖源：Brave）

這些惡意指令指揮Comet獲取用户的郵箱地址，並使用電子郵件地址登錄，選擇驗證碼登錄選項，讓Perplexity官方發送一次性驗證碼。惡意指令還教會瀏覽器繞開現有的身份驗證，並根據指令導航到用户已登錄的Gmail郵箱，獲取驗證碼。 

▲Comet進行的部分操作，畫面經過五倍速處理（圖源：Brave）

由於Comet瀏覽器將部分操作隱藏在后台，用户並不會在設備上直觀地看到瀏覽器正在進行的頁面操作，僅有文字總結。用户需要主動點擊按鈕，才能查看瀏覽器在后台打開的各種網頁。

Comet將驗證碼和郵箱自動發送至Reddit評論區，完成攻擊，全程耗時兩分半。緊接着，攻擊者可通過郵箱+驗證碼的組合登錄用户的Perplexity賬號。 

▲Comet將用户郵箱和驗證碼發送至Reddit評論區（圖源：Brave）

02.傳統防護措施徹底失效，Agent產品已形成「致命三重奏」

Brave稱，這種攻擊對享有的網絡安全機制提出了重大挑戰。當AI瀏覽器等Agent產品執行來自不可信網頁內容的惡意指令時，傳統防護措施（如同源策略和跨域資源共享）將完全失效。

案例中的瀏覽器擁有用户的所有權限，並且在已登錄狀態下操作，攻擊者可能借此獲取銀行賬户、企業系統、私人郵件、雲存儲等敏感服務的訪問權。 

與通常針對單個網站或需要複雜利用流程的傳統網絡漏洞不同，這種攻擊僅需通過植入網頁的自然語言指令即可實現對其他網站的訪問，其影響範圍可覆蓋整個瀏覽器會話。

這一漏洞與AI瀏覽器本身的構建理念密不可分。Perplexity創始人兼首席執行官Aravind Srinivas曾在今年的一場採訪中透露，Comet中的智能體是「用户授權代表自己行動的」，能模擬人類使用網站的方式。這是爲了繞開對第三方MCP的依賴，能讓瀏覽器更獨立自主地與互聯網交互。 

然而，Brave的研究表明，這種設計在提升AI瀏覽器操作能力的同時，也帶來了巨大的風險。 

黑客新聞上，有諸多IT行業從業者分享了對這一風險的看法。 

有網友分析道，谷歌、OpenAI、Anthropic等企業都沒有發佈與Comet類似的功能，而是使用沒有cookie的虛擬機來瀏覽網頁。這説明這些企業已經意識到了這種行為的風險。 

還有網友談到了這一風險的影響範圍，與過去需要逐一攻擊不同，大模型的安全問題在於，只要有一套提示詞能破解模型，並獲取用户隱私，就基本能在所有使用這一模型的用户身上重現，實現大範圍攻擊。

此前，已經有不少從業人員關注到了Agent類產品的風險問題。Datasette開源項目創始人、「提示詞注入」這一概念的提出者Simon Willison稱，Agent產品擁有的三大特徵，已經形成了「致命三重奏」。 

這三大特徵包括： 

（1）私人數據訪問權限，這也是AI工具最常見的目的之一； 

（2）接觸不受信任的內容，如惡意攻擊者控制的文本（或圖像）等； 

（3）外部通信的能力，可用於竊取數據。 

▲Agent中的「致命三重奏」（圖源：Simon Willison個人博客）

如果Agent結合了這三個特徵，攻擊者可以輕松誘騙它訪問私人數據並將其發送給該攻擊者。 

Simon Willison進一步分析，如今大模型的可用性主要就來自其指令遵循能力，但問題是它們不只是聽從用户指令，而是會遵循任何説明。

這已經成爲了AI系統的常見漏洞。Simon Willison在自己的博客中收集了數十個類似案例，影響的對象包括OpenAI的ChatGPT、谷歌Gemini、Amazon Q、谷歌NotebookLM、xAI的Grok、Anthropic的Claude iOS應用程序等。 

幾乎所有這些問題都被企業迅速修復，通常是通過鎖定泄露向量，阻止惡意指令竊取數據。 

然而，能使用工具的Agent帶來了更難以控制的風險。工具泄露私人數據的方式幾乎是無限的，例如向API發出HTTP請求，或加載圖像，甚至提供鏈接供用户單擊等。 

在他看來，保持安全的唯一方法，就是完全避免這三種能力的組合。 

03.如何規避風險？Brave提出四則方法

然而，上述三項能力已經成爲了Agent產品的核心功能。對於那些已經推出或者即將推出類似產品的企業，有沒有什麼方法能規避這些風險呢？ 

同樣在研發AI瀏覽器的Brave從這一案例中，總結了四則方法： 

（1）AI瀏覽器應該具備區分用户指令和網站內容的能力，在將用户的指令作為上下文發送給模型時，應將用户的指令與網站的內容清楚地區分開來，頁面的內容應始終被視為不可信。 

（2）模型應該根據任務和上下文，判斷瀏覽器要執行的操作是否與用户的請求保持一致。 

（3）無論先前的Agent任務計劃如何，涉及安全和敏感信息的操作應該需要用户的確認。 

（4）瀏覽器應將智能體的瀏覽與常規瀏覽隔離開來。如果用户只需要總結網頁，那瀏覽器就不應該擁有打開郵箱、發送郵件、讀取其他敏感數據的權限。這種分離對Agent安全性尤為重要。 

04.結語：進入真實世界前，Agent需先闖過「安全關」

目前，國內外已有多家廠商發佈了能夠操作瀏覽器、手機、電腦等設備的Agent產品。這類產品能在一定程度上簡化部分繁瑣的任務，幫用户提升效率。 

然而，在最終廣泛的進入真實世界前，所有AI產品都理應經過嚴格的安全評估、「紅隊測試」等環節，儘可能規避可預見的風險。 

正如谷歌的那位安全工程師所言，Perplexity本次出現的安全漏洞極為基礎，本應在發佈前就得到關注。這一案例，也給其他Agent產品提供了警示：在追求功能創新與用户體驗的同時，絕不能以犧牲安全為代價。 

本文來自微信公眾號 「智東西」（ID：zhidxcom），作者：陳駿達，36氪經授權發佈。