Brave 的研究人员发现,Perplexity Comet 这类代理式 AI 浏览器存在一个严重的安全漏洞,称为间接提示注入。攻击者可以在网页内容中植入隐藏指令,当用户要求 AI 总结页面时,AI 会在用户不知情的情况下执行这些恶意指令,例如窃取邮件、密码等敏感信息。此漏洞暴露了传统网络安全机制在面对新型 AI 代理时已经失效,亟需建立新的安全架构,例如严格区分用户指令与网页内容、对敏感操作进行用户确认,以及将代理浏览功能与普通浏览隔离开来。
代理式 AI 浏览的新威胁
代理式浏览(Agentic browsing)允许浏览器中的 AI 助手代表用户执行复杂任务,例如“帮我预订下周五去伦敦的机票”,而不仅仅是总结信息。这种能力非常强大,但也带来了巨大的安全和隐私挑战。当用户习惯于信任 AI 处理银行、医疗等敏感账户时,风险也随之倍增。
问题的核心在于,AI 助手可能无法区分用户的正常指令和来自网页的恶意指令。攻击者可以在一个看起来无害的网站,甚至在社交媒体的评论区,植入对 AI 的隐藏指令。
这类攻击能够轻易地操控 AI 助手,绕过早已建立的传统网络安全技术,凸显了用户在代理式浏览器中需要全新的安全和隐私保护措施。
攻击如何运作
这种攻击是一种典型的间接提示注入,恶意指令被嵌入到外部内容(如网站或 PDF)中,AI 在处理用户请求时会一并读取并执行。
1. 设置陷阱: 攻击者将恶意指令隐藏在网页内容中。他们可以使用与背景同色的文字、HTML 注释或其他不可见元素来隐藏指令。他们也可以将指令注入到社交媒体(如 Reddit 评论)等用户生成的内容中。
2. 用户触发: 一个毫无戒备的用户访问了含有恶意指令的网页,并使用 AI 助手的功能,例如点击“总结此页面”。
3. 指令注入: AI 在处理网页内容以生成摘要时,会看到并读取这些隐藏的恶意指令。由于无法区分哪些是应总结的内容、哪些是应执行的命令,AI 将所有内容都视为用户的请求。
4. 执行恶意操作: 被注入的指令会命令 AI 利用其浏览器工具作恶。例如,导航到用户的银行网站、提取保存的密码,或将敏感信息发送到攻击者控制的服务器。
在一个攻击演示中,攻击者在 Reddit 评论中隐藏了指令。当用户要求 Comet 总结该页面时,AI 助手被秘密指示:
- 访问用户的 Perplexity 账户详情页面,提取其电子邮件地址。
- 访问 Gmail,读取邮件中收到的一次性密码(OTP)。
- 将电子邮件地址和一次性密码泄露出去。
整个攻击过程在用户点击“总结页面”后自动发生,无需任何进一步的用户交互。
影响与启示
当 AI 助手遵循来自不受信任网页的恶意指令时,传统的网络安全保护措施,如同源策略 (SOP) 或跨域资源共享 (CORS),都将完全失效。这是因为 AI 是以用户的完整权限在运行,可以访问用户所有已登录的会话,包括银行账户、公司系统、私人邮件和云存储。
与通常只影响单个站点的传统网络漏洞不同,这种攻击通过简单的自然语言指令即可实现跨域访问。其攻击范围是浏览器级别的,而非网站级别。
这表明,传统的网络安全假设已不适用于代理式 AI,我们需要为代理式浏览构建全新的安全和隐私架构。
可能的缓解措施
为了防范此类攻击,可以采取以下策略:
区分用户指令和网页内容: 浏览器在向模型发送信息时,应明确区分用户指令(可信)和网页内容(不可信)。
核对任务与用户意图的一致性: 模型在执行操作前,应检查其计划执行的动作是否与用户的原始请求保持一致。
敏感操作需要用户确认: 无论 AI 的计划是什么,执行发送邮件、使用密码等敏感操作前,都必须弹出提示,要求用户明确确认。
隔离代理式浏览功能: 代理式浏览是一种高风险模式,应与常规浏览严格分开。强大的代理功能应被限制在最小必要范围内,并与常规浏览任务隔离,这种区别应让用户直观地感知到。