作者 | 陈骏达
编辑 | 心缘
智东西8月26日报道,近日,美国浏览器公司Brave发布博客,称该公司在美国知名AI搜索独角兽Perplexity打造的AI浏览器Comet中发现了一个严重安全漏洞,攻击者可通过在网页中发布恶意指令,来操纵AI浏览器登录网站、访问邮箱、获取验证码,并将这些敏感信息发送给外部攻击者。全程耗时两分半,连普通人也能完成这种攻击。
▲博客部分内容截图(图源:Brave)
Comet本质上是一款能代替用户完成浏览器操作的Agent。实验中,Brave研究团队在美国贴吧平台Reddit上发布了一则贴文,内含恶意指令,并让Comet总结这一帖子。当阅读到恶意指令时,Comet会全盘照搬地执行,给用户的信息安全带来巨大风险。
这一案例一经发布,便在社交媒体和各大论坛引发热议。有网友认为,上述操作意味着恶意攻击者几乎有可能通过“广撒网”的方式发布提示词攻击,在用户要求AI总结信息时,直接侵入用户的银行账户,造成极大风险。
还有一名在谷歌工作的大模型安全工程师下场吐槽,称此类攻击“并不高级”,而是大模型安全第一课中就应该防范的攻击类型,看上去Perplexity完全没有考虑到这一安全问题,更别提派人解决了。
▲谷歌大模型安全工程师吐槽Comet安全漏洞(图源:黑客新闻)
Perplexity对待此事的态度,也引发吐槽。有网友认为,Perplexity的首席执行官在问题出现的一个月内,整天都在推特上谈论他们应用程序中的更新,没有表现出任何认真对待此事的迹象。今天,Perplexity还推出了Comet Plus新闻订阅服务。
目前,Perplexity和Comet在社交媒体上对这一事件进行了冷处理,并未发帖回应。Brave称,他们已经向Perplexity方面报告了这一问题,Perplexity耗时近1个月还未完全修复这一问题。
▲Brave对Perplexity披露问题的时间表(图源:Brave)
那么,这种类型的攻击究竟是如何实现的,而AI浏览器、AI Agent产品,又应该通过何种手段来保护用户的隐私呢?
一、发条帖子就能进行攻击,盗号全程耗时两分半
对Comet浏览器的攻击工作原理极为简单。攻击者可以在白色背景上的白色文本、HTML注释或其他不可见元素中隐藏指令,或者直接将恶意提示词注入社交媒体平台上的用户生成内容,例如Reddit评论或Facebook帖子等。
类似方法曾经被广泛用于操纵搜索引擎的结果,实现SEO(搜索引擎优化)。例如,有些企业会在网站空白处植入大量热搜关键词,以提升网站在搜索结果中的排名。
浏览器能读取网页中对用户不可见的恶意指令,由于它无法区分应该总结的内容和它不应该遵循的指令,便将所有内容都视为用户请求。注入的命令指示浏览器恶意调用工具,例如导航到用户的银行网站、提取保存的密码或将敏感信息泄露到攻击者控制的服务器。
为了说明Comet中此漏洞的严重性,Brave创建了一个概念验证演示。演示中,用户访问的帖子中的一条评论被“剧透标签”掩盖,导致用户无法看见其内容。当用户单击Comet的“总结当前网页”按钮时,Comet助手会看到并处理这些隐藏的指令。
▲Brave实验中发布的恶意帖子(图源:Brave)
这些恶意指令指挥Comet获取用户的邮箱地址,并使用电子邮件地址登录,选择验证码登录选项,让Perplexity官方发送一次性验证码。恶意指令还教会浏览器绕开现有的身份验证,并根据指令导航到用户已登录的Gmail邮箱,获取验证码。
▲Comet进行的部分操作,画面经过五倍速处理(图源:Brave)
由于Comet浏览器将部分操作隐藏在后台,用户并不会在设备上直观地看到浏览器正在进行的页面操作,仅有文字总结。用户需要主动点击按钮,才能查看浏览器在后台打开的各种网页。
Comet将验证码和邮箱自动发送至Reddit评论区,完成攻击,全程耗时两分半。紧接着,攻击者可通过邮箱+验证码的组合登录用户的Perplexity账号。
▲Comet将用户邮箱和验证码发送至Reddit评论区(图源:Brave)
二、传统防护措施彻底失效,Agent产品已形成“致命三重奏”
Brave称,这种攻击对享有的网络安全机制提出了重大挑战。当AI浏览器等Agent产品执行来自不可信网页内容的恶意指令时,传统防护措施(如同源策略和跨域资源共享)将完全失效。
案例中的浏览器拥有用户的所有权限,并且在已登录状态下操作,攻击者可能借此获取银行账户、企业系统、私人邮件、云存储等敏感服务的访问权。
与通常针对单个网站或需要复杂利用流程的传统网络漏洞不同,这种攻击仅需通过植入网页的自然语言指令即可实现对其他网站的访问,其影响范围可覆盖整个浏览器会话。
这一漏洞与AI浏览器本身的构建理念密不可分。Perplexity创始人兼首席执行官Aravind Srinivas曾在今年的一场采访中透露,Comet中的智能体是“用户授权代表自己行动的”,能模拟人类使用网站的方式。这是为了绕开对第三方MCP的依赖,能让浏览器更独立自主地与互联网交互。
然而,Brave的研究表明,这种设计在提升AI浏览器操作能力的同时,也带来了巨大的风险。
黑客新闻上,有诸多IT行业从业者分享了对这一风险的看法。
有网友分析道,谷歌、OpenAI、Anthropic等企业都没有发布与Comet类似的功能,而是使用没有cookie的虚拟机来浏览网页。这说明这些企业已经意识到了这种行为的风险。
还有网友谈到了这一风险的影响范围,与过去需要逐一攻击不同,大模型的安全问题在于,只要有一套提示词能破解模型,并获取用户隐私,就基本能在所有使用这一模型的用户身上重现,实现大范围攻击。
此前,已经有不少从业人员关注到了Agent类产品的风险问题。Datasette开源项目创始人、“提示词注入”这一概念的提出者Simon Willison称,Agent产品拥有的三大特征,已经形成了“致命三重奏”。
这三大特征包括:
(1)私人数据访问权限,这也是AI工具最常见的目的之一;
(2)接触不受信任的内容,如恶意攻击者控制的文本(或图像)等;
(3)外部通信的能力,可用于窃取数据。
▲Agent中的“致命三重奏”(图源:Simon Willison个人博客)
如果Agent结合了这三个特征,攻击者可以轻松诱骗它访问私人数据并将其发送给该攻击者。
Simon Willison进一步分析,如今大模型的可用性主要就来自其指令遵循能力,但问题是它们不只是听从用户指令,而是会遵循任何说明。
这已经成为了AI系统的常见漏洞。Simon Willison在自己的博客中收集了数十个类似案例,影响的对象包括OpenAI的ChatGPT、谷歌Gemini、Amazon Q、谷歌NotebookLM、xAI的Grok、Anthropic的Claude iOS应用程序等。
几乎所有这些问题都被企业迅速修复,通常是通过锁定泄露向量,阻止恶意指令窃取数据。
然而,能使用工具的Agent带来了更难以控制的风险。工具泄露私人数据的方式几乎是无限的,例如向API发出HTTP请求,或加载图像,甚至提供链接供用户单击等。
在他看来,保持安全的唯一方法,就是完全避免这三种能力的组合。
三、如何规避风险?Brave提出四则方法
然而,上述三项能力已经成为了Agent产品的核心功能。对于那些已经推出或者即将推出类似产品的企业,有没有什么方法能规避这些风险呢?
同样在研发AI浏览器的Brave从这一案例中,总结了四则方法:
(1)AI浏览器应该具备区分用户指令和网站内容的能力,在将用户的指令作为上下文发送给模型时,应将用户的指令与网站的内容清楚地区分开来,页面的内容应始终被视为不可信。
(2)模型应该根据任务和上下文,判断浏览器要执行的操作是否与用户的请求保持一致。
(3)无论先前的Agent任务计划如何,涉及安全和敏感信息的操作应该需要用户的确认。
(4)浏览器应将智能体的浏览与常规浏览隔离开来。如果用户只需要总结网页,那浏览器就不应该拥有打开邮箱、发送邮件、读取其他敏感数据的权限。这种分离对Agent安全性尤为重要。
结语:进入真实世界前,Agent需先闯过“安全关”
目前,国内外已有多家厂商发布了能够操作浏览器、手机、电脑等设备的Agent产品。这类产品能在一定程度上简化部分繁琐的任务,帮用户提升效率。
然而,在最终广泛的进入真实世界前,所有AI产品都理应经过严格的安全评估、“红队测试”等环节,尽可能规避可预见的风险。
正如谷歌的那位安全工程师所言,Perplexity本次出现的安全漏洞极为基础,本应在发布前就得到关注。这一案例,也给其他Agent产品提供了警示:在追求功能创新与用户体验的同时,绝不能以牺牲安全为代价。
