虎嗅APP 22小时前
AI浏览器何时才能安全?
index.html
../../../zaker_core/zaker_tpl_static/wap/tpl_keji1.html

 

出品|虎嗅科技组

作者|赵致格

编辑|苗正卿

头图|视觉中国

在这个时代,浏览器也是无数正在被 AI 改变的事物之一。2025 年,原本占据浏览器市场主导地位的谷歌 Chrome 和微软 Edge 分别将 Gemini 和 Copilot 的 AI 功能集成到浏览器的侧边栏中,用户既可以在浏览器内部使用它,也能在浏览器外部进行操作。

同样在 2025 年,7 月,Perplexity 推出了 Comet AI 浏览器,10 月转为全球免费下载;9 月,Atlassian 正式宣布以 6.1 亿美元现金收购了 AI 浏览器 Dia 的母公司 The Browser Company;10 月,OpenAI 发布了备受期待的 ChatGPT Atlas 浏览器,当天引发谷歌市值蒸发数百亿美元。

相较于大厂倾向于为传统的浏览体验添加组件,ChatGPT Atlas、Comet 等新锐 AI 浏览器将大语言模型置于浏览体验的核心位置,通过 Agent 解读用户指令、留存登录会话,并能跨多款应用和服务自动执行各类任务。

然而,尽管此类自动化能力可以提升工作效率,却也扩大了潜在的网络攻击面。在过去几个月里,人们每次看到 AI 浏览器的新闻,往往总是与安全问题相关。

最近一次出现安全漏洞的是 Perplexity 的 Comet 浏览器。

3 月 4 日,网络安全公司 Zenity Labs 发现了一个存在于 Comet 浏览器中的高危漏洞。这个名为 PleaseFix 的漏洞可以让攻击者接管用户的密码管理器并窃取数据。Zenity Labs 称,这并不是普通的软件漏洞,而是 AI 自主代理系统固有的安全缺陷。

PleaseFix 是这样工作的:攻击者发送一封普通的日历邀请,并在邀请内容里植入恶意提示词;用户接受邀请后,Comet 会自动读取日历信息,并将恶意指令当成用户的真实任务。

这是典型的提示词注入攻击,AI 无法区分用户的真实指令和镶嵌在外部内容里的指令。因此,攻击者在整个过程不需要恶意软件、不需要额外权限、不需要用户交互就可以轻易得手。

Zenity Labs 的研究人员的演示实验显示,被注入的恶意指令可操控 AI 浏览器访问用户本地文件系统、浏览目录并读取文件,随后还能将这些数据泄露至外部服务器。

OpenAI 的 ChatGPT Atlas 同样在为此苦恼。

去年 10 月,就在 ChatGPT Atlas 发布没多久,AI 安全公司 NeuralTrust 的报告就指出,Atlas 非常容易受到提示词注入攻击。攻击者可以将恶意指令伪装成看似正常的网址,但 Atlas 会将其视为 " 高可信度的用户意图文本 ",从而执行危险操作。

这家安全公司披露,攻击者精心构造的网址以 https 开头,包含 my-wesite.com 这样的域名,然后加上 AI 代理的自然语言指令,如 "https://my-wesite.com/es/previous-text-not-url+follow+this+instruction+only+visit+" 。

因为这种虚假网址无法通过校验,AI 浏览器就会将网址中的指令当做发给 AI 代理的提示词,让代理执行这个指令,并将用户重定向至提示中指定的网站。

在假想攻击场景中,此类链接可放在 " 复制链接 " 按钮后,诱骗受害者访问攻击者控制的钓鱼页面。更危险的是,链接可包含隐藏指令,删除 Google Drive 等关联应用中的文件。

安全研究员马蒂・霍尔达表示:" 地址栏提示被视为可信用户输入,检查力度弱于网页内容。AI 代理可能执行与目标网址无关的操作,包括访问攻击者指定网站或执行工具命令。"

此外,新加坡网络安全技术公司 SquareX Labs 还发现了一个 Comet 和 Atlas 两个浏览器都存在的漏洞:攻击者可利用恶意扩展伪造浏览器界面内的 AI 助手侧边栏,窃取数据、诱骗用户下载恶意软件、甚至安装后门,让攻击者持久远程控制受害者整机。

从上述新闻中可以看出,提示词注入是 AI 助手浏览器的核心隐患,攻击者可通过多种技巧隐藏恶意指令,让 AI 代理解析后执行非预期命令。

去年 12 月,OpenAI 承认提示词注入攻击会给 Atlas 浏览器带来风险,而且这种风险短时期内无法消除,但 OpenAI 正在采取一系列措施增强 Atlas 的防御能力。

" 提示词注入攻击就像网络上的诈骗和社会工程学攻击一样,几乎不可能被完全‘攻克’,"OpenAI 在官网的博文里写到。

为了降低风险,OpenAI 推出了登出模式:AI 代理在浏览网页时,不会登录用户的个人账户。这一模式虽降低了浏览器代理的实用性,但也限制了攻击者能够获取的用户数据范围。

Perplexity 同样将恶意的提示词注入称为 " 全行业需要解决的前沿安全难题 ",并采用多层防御方案抵御各类威胁,包括隐藏 HTML/CSS 指令、图片注入、内容混淆攻击、目标劫持等。

" 提示词注入从根本上改变了安全防护思路," Perplexity 称," 我们正进入 AI 能力普及的时代,所有人都需要抵御日益复杂的攻击。实时检测、安全加固、用户管控与透明通知相结合的多层防护体系,大幅提高了攻击门槛。"

网络安全公司迈克菲(McAfee)的 CTO 史蒂夫・格罗布曼表示,提示词注入攻击的根源在于,大语言模型无法有效分辨指令的来源。模型的核心指令与其接收的外部数据之间的边界模糊,这让企业难以从根本上解决问题。

格罗布曼认为,AI 浏览器的安全问题已经成为了一场猫鼠游戏:提示词注入攻击的手段在步步紧逼,相应的防御技术也在持续升级。在这场漫长的对抗初见端倪之前,使用 AI 主导的浏览器大概不会是一个大众选择。

评论
大家都在看