AI浏览器安全漏洞曝光:Perplexity Comet存在提示注入攻击风险

事件时间线

8月20日下午9:01 - Brave官方Twitter账号发布安全警告,揭露AI代理浏览器存在的新型安全风险,该推文获得130.5万次查看。

Brave官方推文
Brave官方推文

Brave表示:"AI代理能够代表用户浏览网络并执行任务具有巨大潜力,但也带来了新的安全风险。我们最近发现并披露了Perplexity Comet浏览器中一个令人担忧的漏洞,该漏洞使用户账户和其他敏感信息面临危险。"

8月24日上午1:33 - 技术博主@zack_overflow转发相关内容并发出严厉警告,该推文获得118.8万次查看。

zack_overflow转发推文
zack_overflow转发推文

他质疑道:"为什么没有人讨论这个问题?这就是我不使用AI浏览器的原因。你可能在Reddit上随便浏览时就被提示注入攻击,银行账户被盗。"

漏洞核心问题

来源:Brave安全研究团队公开报告

这一漏洞的核心问题在于Perplexity Comet无法区分用户指令和网页内容。当用户要求AI"总结此网页"时,恶意攻击者可以在网页中嵌入隐藏的恶意指令,AI会将这些指令当作用户命令执行。

攻击演示场景

根据Brave团队的概念验证演示:

  1. 攻击设置:用户访问包含恶意指令的Reddit帖子(指令隐藏在剧透标签后)

  2. 触发攻击:点击Comet的"总结当前网页"功能

  3. 执行恶意操作:AI在处理页面时自动执行隐藏指令:

    • 访问https://www.perplexity.ai/account/details获取用户邮箱地址
    • 通过域名欺骗(perplexity.ai.)绕过认证登录获取OTP验证码
    • 访问Gmail读取验证码
    • 将邮箱地址和验证码回复到原Reddit评论,泄露给攻击者

业界激烈反应

安全专家的严厉警告

有安全专家指出,Google、OpenAI 和 Anthropic 等主流厂商普遍采用隔离虚拟机来处理网页浏览任务,而非让模型直接接触用户会话数据。相较之下,让大语言模型在浏览器内直接访问跨标签页数据,堪称安全设计上的“终极三要素”:访问不可信数据、接触私有信息、同时具备对外通信能力——这是任何安全模型都无法承受的叠加风险。

更关键的是,概率性防御本身并不可靠。在安全领域,对攻击者输入应用概率假设是常见错误。只有从加密安全的随机源(CSPRNG)中获得的随机性,才可以假设其符合某种概率分布。将“模型对齐”这类概率性机制当成防线,无异于在悬崖边跳舞。

技术实现的深层争议

多位技术专家批评当前系统过度依赖概率性防护,如“模型对齐”或“行为约束”,而缺乏确定性的安全边界。他们认为,真正的安全设计应当建立在权限隔离之上:大语言模型绝不能同时具备以下三项能力——

  • 访问不可信数据(如网页内容)
  • 访问私有数据(如用户本地文件或会话)
  • 对外通信(如发起网络请求)

一旦三者同时成立,系统就进入了不可防御状态。

两种针锋相对的发展观

在是否继续推进这类技术的议题上,业界出现了明显分歧。

一方认为,创新本身就意味着试错。进化本就是由无数失败实验堆叠而成,如果因为少数孤立事故就停止探索,那才是对技术进步的背叛。

另一方则反驳,有些错误的代价无法承受。当你的“实验失败”意味着“用户银行账户被不可挽回地清空”时,这种风险就不再是“可以接受的学习成本”,而是必须被阻止的灾难。

厂商回应及修复进展

Brave团队立场

来源:Brave官方博客及团队成员skaul回应

  • 7月25日:发现并报告漏洞给Perplexity
  • 7月27日:Perplexity确认漏洞并实施初步修复
  • 7月28日:重新测试发现修复不完整
  • 8月20日:公开披露漏洞详情

Brave隐私负责人skaul在讨论中澄清:"我们从未声称或相信模型对齐等措施就足够了。这些只是浏览器厂商应该做的简单事情,是必要而非充分条件。"

Perplexity回应缺失

有用户观察,Perplexity CEO在漏洞披露后的一整天内都在推特上发布应用功能更新,对安全问题避而不谈,显示出对该漏洞重视程度不足。

技术专家建议的安全措施

来源:Brave研究报告和社区专家建议

  1. 架构隔离:AI浏览功能应与常规浏览完全隔离,运行在无cookies的独立会话中
  2. 权限控制:实施最小权限原则,敏感操作必须要求用户明确确认
  3. 内容区分:浏览器应明确区分用户指令和网站内容,将页面内容始终视为不可信
  4. 新安全架构:开发针对AI代理的全新安全和隐私架构

行业影响及前景

这一事件凸显了AI代理浏览器面临的根本性安全挑战。专家普遍认为,当前的AI技术在本质上无法可靠地区分指令和数据,这使得传统网络安全机制在AI代理面前完全失效。

业界对于是否应该暂停此类产品开发存在分歧,但安全专家的共识是:在解决提示注入等根本性安全问题之前,赋予AI代理执行敏感操作的权限存在不可接受的风险。

消息来源

您可能感兴趣的文章

发现更多精彩内容