研究人员发现Perplexity的Comet AI浏览器中存在严重安全漏洞,攻击者可通过截图中的隐藏文本注入恶意命令。
该漏洞于2025年10月21日披露,揭示了AI驱动的浏览器如何成为攻击者访问用户银行、电子邮件等敏感账户的危险入口。
攻击者如何在图像中隐藏危险指令
攻击通过一种名为隐写术(steganography) 的技术在网页内容中嵌入几乎不可见的指令。
Brave安全研究人员创建了一个概念验证攻击:在黄色背景上使用淡蓝色文本,使恶意命令对人眼完全不可见。
当用户对包含这些隐藏指令的网页截图时,Perplexity的Comet浏览器会使用光学字符识别(OCR)提取所有文本——包括伪装的恶意命令——并将其直接输入AI系统,未经过滤或验证。
这意味着,当用户截图并向Comet询问网页相关问题时,他们在不知不觉中为攻击者提供了直接操控AI助手强大浏览器功能的通道。
AI将这些隐藏指令视为合法命令,而非不可信的网页内容,从而允许攻击者操纵浏览器执行未授权操作。
对于在浏览期间保持重要账户登录状态的用户,风险极为严重:
若攻击者成功向Comet注入提示,AI可能访问你的银行账户、窃取电子邮件、入侵企业系统或从云存储中外渗数据——而这一切仅仅因为你对一个受感染的网页进行了截图。
该漏洞完全绕过了传统网络安全保护机制(如同源策略),而同源策略通常用于防止网站相互访问数据。
非孤立问题:AI浏览器普遍存在设计缺陷
Brave安全研究员Artem Chaikin和Shivan Kaul Sahib强调,这并非孤立问题。
他们的研究在其他智能体浏览器(如Fellou)中也发现了类似漏洞:只需让AI导航至恶意网站,攻击者即可通过可见网页内容注入命令。
Brave研究人员已于2025年10月1日向Perplexity负责任地报告了Comet漏洞,为公司留出修复时间后才公开披露。
研究揭示了AI浏览器在代表用户执行操作时,如何处理用户命令与不可信网页内容边界的根本性设计缺陷。
安全建议:隔离AI功能,避免敏感账户共存
安全专家建议,在智能体浏览器未在内容与命令之间建立适当安全屏障前,应将这些工具视为本质上具有风险。
理想的防护措施应将AI浏览功能与常规浏览隔离,并仅在用户明确请求时激活。
目前,用户应避免在使用智能体浏览器功能时保持敏感账户登录,或在更强保护措施到位前完全避免使用这些工具。
发表评论
您还未登录,请先登录。
登录