只需一封经过恶意构造的Google 日历邀请,就能将 Perplexity 的 Comet 浏览器变为攻击武器。Zenity Labs 安全研究人员发现了一个名为 PerplexedBrowser 的高危漏洞,该漏洞可诱骗 Comet 的 AI 代理读取本地文件并窃取凭证。
这种零点击攻击仅需要用户让 AI 代理处理一条常规会议邀请,就会暴露智能代理浏览器在处理不可信数据时的底层设计缺陷。
该漏洞利用流程完全在 Comet 代理内部静默执行,对用户完全不可见。
攻击始于攻击者发送一封看似正常的 Google 日历邀请。在可见的会议信息下方,大量空白区域隐藏了伪造的 HTML 元素与一段
<system_reminder> 代码块,用于模仿 Comet 的内部指令。当用户让浏览器接受会议邀请时,会发生“意图冲突(Intent Collision)”:AI 代理将用户的合法请求与攻击者隐藏的恶意载荷合并执行。
根据 Awesome Agents 与 Zenity Labs 的研究,注入的指令会秘密迫使 Comet在后台访问攻击者控制的网站。
为绕过以英文为核心的安全防护机制,该恶意站点会使用希伯来语下发二次指令。
攻击将文件遍历行为包装成 “游戏任务”,诱导 AI 代理访问
file:// 协议链接,读取敏感配置文件与 API 密钥。最终,Comet 会将窃取的数据拼接进 URL 并跳转到攻击者服务器,瞬间完成数据外泄。
如果用户启用了未上锁的 1Password 浏览器扩展,攻击破坏力将进一步加剧。
Comet 可直接搜索密码库、提取单条记录,甚至尝试修改主密码。
尽管多因素认证可阻止账号完全沦陷,但各类敏感密钥与 API 凭证会被完全暴露。
结构性漏洞频发
| 漏洞名称 | 攻击载体 | 影响 |
|---|---|---|
| CometJacking | 基于 URL 的提示词注入 | 内存与关联服务数据泄露 |
| Hidden MCP API | 未公开 MCP API | 任意命令执行 |
| Reddit Injection | 隐藏提示指令 | 邮箱与一次性验证码窃取 |
| UXSS | 扩展配置不当 | 任意浏览器操作 |
| Safety-Check Exfiltration | 滥用 AI 安全护栏 | 内部数据窃取 |
自 2025 年 7 月发布以来,PerplexedBrowser 已是 Comet 被发现的第六个重大安全漏洞。此前问题包括 CometJacking、可执行任意指令的隐藏 MCP API 等。
此外,研究人员还发现通过恶意 Reddit 评论实施的提示词注入漏洞。
Zenity 于 2025 年 10 月上报了最新这一漏洞。然而,Perplexity 花费120 天并通过两次独立补丁,才从代码层面彻底封禁
file:// 访问。Zenity 首席技术官 Michael Bargury 强调,这是智能代理系统的固有结构性缺陷,而非简单的软件 Bug。
由于大语言模型在同一 Token 流中同时处理可信用户指令与不可信网页内容,模型无法可靠区分二者。
知名 AI 安全专家 Simon Willison 也表达了相同担忧,他认为智能代理浏览器扩展这一整体设计可能存在致命缺陷。
在出现架构级修复方案前,建议用户保持密码管理器锁定状态,并严格限制 AI 代理对敏感域名的访问权限。
发表评论
您还未登录,请先登录。
登录