浏览器 Brave 团队近日披露了一类新型安全威胁——基于 AI 浏览器的间接提示注入(Indirect Prompt Injection),并演示了该攻击在 Perplexity Comet 浏览器上的真实案例。
研究人员发现,攻击者可以在网页内容(例如 Reddit 评论、PDF 或隐藏文字)中植入恶意指令。当用户通过 Comet 等 AI 浏览器插件执行“总结网页”等操作时,插件会错误地将这些指令当作用户输入来执行。结果,攻击者可诱导插件读取用户邮箱、窃取一次性验证码(OTP),甚至远程控制账户。
这类攻击绕过了传统 Web 安全机制(如同源策略和 CORS),危害极大,因为 AI 浏览器往往拥有与用户相同的登录权限,意味着银行、邮箱、云存储等敏感服务都可能受到威胁。
Brave 指出,修复此类问题不能仅依赖模型对齐,而需要从架构层面增强防护。包括:
-
区分用户指令与网页内容,避免网页指令被误执行;
-
增加安全检查与用户确认,对 AI 生成的浏览动作进行限制;
-
最小权限原则,避免 AI 在后台不必要地访问敏感数据。
业内人士认为,这一案例揭示了“Agentic 浏览器”设计中的根本缺陷,未来 AI 浏览器的发展必须在智能与安全之间寻求新的平衡。