智東西
作者 陳駿達(dá)
編輯 心緣

這款知名AI瀏覽器，竟成了藏在用戶設(shè)備中的“隱私大盜”？

智東西8月26日報道，近日，美國瀏覽器公司Brave發(fā)布博客，稱該公司在美國知名AI搜索獨角獸Perplexity打造的AI瀏覽器Comet中發(fā)現(xiàn)了一個嚴(yán)重安全漏洞，攻擊者可通過在網(wǎng)頁中發(fā)布惡意指令，來操縱AI瀏覽器登錄網(wǎng)站、訪問郵箱、獲取驗證碼，并將這些敏感信息發(fā)送給外部攻擊者。全程耗時兩分半，連普通人也能完成這種攻擊。

▲博客部分內(nèi)容截圖（圖源：Brave）

Comet本質(zhì)上是一款能代替用戶完成瀏覽器操作的Agent。實驗中，Brave研究團(tuán)隊在美國貼吧平臺Reddit上發(fā)布了一則貼文，內(nèi)含惡意指令，并讓Comet總結(jié)這一帖子。當(dāng)閱讀到惡意指令時，Comet會全盤照搬地執(zhí)行，給用戶的信息安全帶來巨大風(fēng)險。

這一案例一經(jīng)發(fā)布，便在社交媒體和各大論壇引發(fā)熱議。有網(wǎng)友認(rèn)為，上述操作意味著惡意攻擊者幾乎有可能通過“廣撒網(wǎng)”的方式發(fā)布提示詞攻擊，在用戶要求AI總結(jié)信息時，直接侵入用戶的銀行賬戶，造成極大風(fēng)險。

還有一名在谷歌工作的大模型安全工程師下場吐槽，稱此類攻擊“并不高級”，而是大模型安全第一課中就應(yīng)該防范的攻擊類型，看上去Perplexity完全沒有考慮到這一安全問題，更別提派人解決了。

▲谷歌大模型安全工程師吐槽Comet安全漏洞（圖源：黑客新聞）

Perplexity對待此事的態(tài)度，也引發(fā)吐槽。有網(wǎng)友認(rèn)為，Perplexity的首席執(zhí)行官在問題出現(xiàn)的一個月內(nèi)，整天都在推特上談?wù)撍麄儜?yīng)用程序中的更新，沒有表現(xiàn)出任何認(rèn)真對待此事的跡象。今天，Perplexity還推出了Comet Plus新聞訂閱服務(wù)。

目前，Perplexity和Comet在社交媒體上對這一事件進(jìn)行了冷處理，并未發(fā)帖回應(yīng)。Brave稱，他們已經(jīng)向Perplexity方面報告了這一問題，Perplexity耗時近1個月還未完全修復(fù)這一問題。

▲Brave對Perplexity披露問題的時間表（圖源：Brave）

那么，這種類型的攻擊究竟是如何實現(xiàn)的，而AI瀏覽器、AI Agent產(chǎn)品，又應(yīng)該通過何種手段來保護(hù)用戶的隱私呢？

一、發(fā)條帖子就能進(jìn)行攻擊，盜號全程耗時兩分半

對Comet瀏覽器的攻擊工作原理極為簡單。攻擊者可以在白色背景上的白色文本、HTML注釋或其他不可見元素中隱藏指令，或者直接將惡意提示詞注入社交媒體平臺上的用戶生成內(nèi)容，例如Reddit評論或Facebook帖子等。

類似方法曾經(jīng)被廣泛用于操縱搜索引擎的結(jié)果，實現(xiàn)SEO（搜索引擎優(yōu)化）。例如，有些企業(yè)會在網(wǎng)站空白處植入大量熱搜關(guān)鍵詞，以提升網(wǎng)站在搜索結(jié)果中的排名。

瀏覽器能讀取網(wǎng)頁中對用戶不可見的惡意指令，由于它無法區(qū)分應(yīng)該總結(jié)的內(nèi)容和它不應(yīng)該遵循的指令，便將所有內(nèi)容都視為用戶請求。注入的命令指示瀏覽器惡意調(diào)用工具，例如導(dǎo)航到用戶的銀行網(wǎng)站、提取保存的密碼或?qū)⒚舾行畔⑿孤兜焦粽呖刂频姆?wù)器。

為了說明Comet中此漏洞的嚴(yán)重性，Brave創(chuàng)建了一個概念驗證演示。演示中，用戶訪問的帖子中的一條評論被“劇透標(biāo)簽”掩蓋，導(dǎo)致用戶無法看見其內(nèi)容。當(dāng)用戶單擊Comet的“總結(jié)當(dāng)前網(wǎng)頁”按鈕時，Comet助手會看到并處理這些隱藏的指令。

▲Brave實驗中發(fā)布的惡意帖子（圖源：Brave）

這些惡意指令指揮Comet獲取用戶的郵箱地址，并使用電子郵件地址登錄，選擇驗證碼登錄選項，讓Perplexity官方發(fā)送一次性驗證碼。惡意指令還教會瀏覽器繞開現(xiàn)有的身份驗證，并根據(jù)指令導(dǎo)航到用戶已登錄的Gmail郵箱，獲取驗證碼。

▲Comet進(jìn)行的部分操作，畫面經(jīng)過五倍速處理（圖源：Brave）

由于Comet瀏覽器將部分操作隱藏在后臺，用戶并不會在設(shè)備上直觀地看到瀏覽器正在進(jìn)行的頁面操作，僅有文字總結(jié)。用戶需要主動點擊按鈕，才能查看瀏覽器在后臺打開的各種網(wǎng)頁。

Comet將驗證碼和郵箱自動發(fā)送至Reddit評論區(qū)，完成攻擊，全程耗時兩分半。緊接著，攻擊者可通過郵箱+驗證碼的組合登錄用戶的Perplexity賬號。

▲Comet將用戶郵箱和驗證碼發(fā)送至Reddit評論區(qū)（圖源：Brave）

二、傳統(tǒng)防護(hù)措施徹底失效，Agent產(chǎn)品已形成“致命三重奏”

Brave稱，這種攻擊對享有的網(wǎng)絡(luò)安全機(jī)制提出了重大挑戰(zhàn)。當(dāng)AI瀏覽器等Agent產(chǎn)品執(zhí)行來自不可信網(wǎng)頁內(nèi)容的惡意指令時，傳統(tǒng)防護(hù)措施（如同源策略和跨域資源共享）將完全失效。

案例中的瀏覽器擁有用戶的所有權(quán)限，并且在已登錄狀態(tài)下操作，攻擊者可能借此獲取銀行賬戶、企業(yè)系統(tǒng)、私人郵件、云存儲等敏感服務(wù)的訪問權(quán)。

與通常針對單個網(wǎng)站或需要復(fù)雜利用流程的傳統(tǒng)網(wǎng)絡(luò)漏洞不同，這種攻擊僅需通過植入網(wǎng)頁的自然語言指令即可實現(xiàn)對其他網(wǎng)站的訪問，其影響范圍可覆蓋整個瀏覽器會話。

這一漏洞與AI瀏覽器本身的構(gòu)建理念密不可分。Perplexity創(chuàng)始人兼首席執(zhí)行官Aravind Srinivas曾在今年的一場采訪中透露，Comet中的智能體是“用戶授權(quán)代表自己行動的”，能模擬人類使用網(wǎng)站的方式。這是為了繞開對第三方MCP的依賴，能讓瀏覽器更獨立自主地與互聯(lián)網(wǎng)交互。

然而，Brave的研究表明，這種設(shè)計在提升AI瀏覽器操作能力的同時，也帶來了巨大的風(fēng)險。

黑客新聞上，有諸多IT行業(yè)從業(yè)者分享了對這一風(fēng)險的看法。

有網(wǎng)友分析道，谷歌、OpenAI、Anthropic等企業(yè)都沒有發(fā)布與Comet類似的功能，而是使用沒有cookie的虛擬機(jī)來瀏覽網(wǎng)頁。這說明這些企業(yè)已經(jīng)意識到了這種行為的風(fēng)險。

還有網(wǎng)友談到了這一風(fēng)險的影響范圍，與過去需要逐一攻擊不同，大模型的安全問題在于，只要有一套提示詞能破解模型，并獲取用戶隱私，就基本能在所有使用這一模型的用戶身上重現(xiàn)，實現(xiàn)大范圍攻擊。

此前，已經(jīng)有不少從業(yè)人員關(guān)注到了Agent類產(chǎn)品的風(fēng)險問題。Datasette開源項目創(chuàng)始人、“提示詞注入”這一概念的提出者Simon Willison稱，Agent產(chǎn)品擁有的三大特征，已經(jīng)形成了“致命三重奏”。

這三大特征包括：

（1）私人數(shù)據(jù)訪問權(quán)限，這也是AI工具最常見的目的之一；

（2）接觸不受信任的內(nèi)容，如惡意攻擊者控制的文本（或圖像）等；

（3）外部通信的能力，可用于竊取數(shù)據(jù)。

▲Agent中的“致命三重奏”（圖源：Simon Willison個人博客）

如果Agent結(jié)合了這三個特征，攻擊者可以輕松誘騙它訪問私人數(shù)據(jù)并將其發(fā)送給該攻擊者。

Simon Willison進(jìn)一步分析，如今大模型的可用性主要就來自其指令遵循能力，但問題是它們不只是聽從用戶指令，而是會遵循任何說明。

這已經(jīng)成為了AI系統(tǒng)的常見漏洞。Simon Willison在自己的博客中收集了數(shù)十個類似案例，影響的對象包括OpenAI的ChatGPT、谷歌Gemini、Amazon Q、谷歌NotebookLM、xAI的Grok、Anthropic的Claude iOS應(yīng)用程序等。

幾乎所有這些問題都被企業(yè)迅速修復(fù)，通常是通過鎖定泄露向量，阻止惡意指令竊取數(shù)據(jù)。

然而，能使用工具的Agent帶來了更難以控制的風(fēng)險。工具泄露私人數(shù)據(jù)的方式幾乎是無限的，例如向API發(fā)出HTTP請求，或加載圖像，甚至提供鏈接供用戶單擊等。

在他看來，保持安全的唯一方法，就是完全避免這三種能力的組合。

三、如何規(guī)避風(fēng)險？Brave提出四則方法

然而，上述三項能力已經(jīng)成為了Agent產(chǎn)品的核心功能。對于那些已經(jīng)推出或者即將推出類似產(chǎn)品的企業(yè)，有沒有什么方法能規(guī)避這些風(fēng)險呢？

同樣在研發(fā)AI瀏覽器的Brave從這一案例中，總結(jié)了四則方法：

（1）AI瀏覽器應(yīng)該具備區(qū)分用戶指令和網(wǎng)站內(nèi)容的能力，在將用戶的指令作為上下文發(fā)送給模型時，應(yīng)將用戶的指令與網(wǎng)站的內(nèi)容清楚地區(qū)分開來，頁面的內(nèi)容應(yīng)始終被視為不可信。

（2）模型應(yīng)該根據(jù)任務(wù)和上下文，判斷瀏覽器要執(zhí)行的操作是否與用戶的請求保持一致。

（3）無論先前的Agent任務(wù)計劃如何，涉及安全和敏感信息的操作應(yīng)該需要用戶的確認(rèn)。

（4）瀏覽器應(yīng)將智能體的瀏覽與常規(guī)瀏覽隔離開來。如果用戶只需要總結(jié)網(wǎng)頁，那瀏覽器就不應(yīng)該擁有打開郵箱、發(fā)送郵件、讀取其他敏感數(shù)據(jù)的權(quán)限。這種分離對Agent安全性尤為重要。

結(jié)語：進(jìn)入真實世界前，Agent需先闖過“安全關(guān)”

目前，國內(nèi)外已有多家廠商發(fā)布了能夠操作瀏覽器、手機(jī)、電腦等設(shè)備的Agent產(chǎn)品。這類產(chǎn)品能在一定程度上簡化部分繁瑣的任務(wù)，幫用戶提升效率。

然而，在最終廣泛的進(jìn)入真實世界前，所有AI產(chǎn)品都理應(yīng)經(jīng)過嚴(yán)格的安全評估、“紅隊測試”等環(huán)節(jié)，盡可能規(guī)避可預(yù)見的風(fēng)險。

正如谷歌的那位安全工程師所言，Perplexity本次出現(xiàn)的安全漏洞極為基礎(chǔ)，本應(yīng)在發(fā)布前就得到關(guān)注。這一案例，也給其他Agent產(chǎn)品提供了警示：在追求功能創(chuàng)新與用戶體驗的同時，絕不能以犧牲安全為代價。