Brave 的安全研究人员在 Perplexity 的 Comet 浏览器中发现了一个重大漏洞,攻击者可以利用间接提示词注入(indirect prompt injection)劫持其 AI 助手。该缺陷允许恶意行为者绕过常规的网络安全防护,通过嵌入隐蔽指令,让 AI 在未经用户许可的情况下执行操作。
Brave 高级移动安全工程师 Artem Chaikin 与隐私与安全副总裁 Shivan Kaul Sahib 共同领导了此次调查。团队发现,Comet 无法区分用户的正常指令与从网页抓取的不可信内容。当用户要求 AI 总结网页内容时,它会将页面上的所有元素都视为指令进行处理。
攻击原理
攻击者可以利用多种技术将恶意提示词隐藏在网页内容中,例如使用白底白字、HTML 注释,或是在 Reddit 等社交平台的评论区发布内容。当 AI 处理这些页面时,它会像执行用户直接下达的指令一样去执行这些隐藏命令。
在一次概念验证演示中,Brave 的研究人员展示了该漏洞如何导致用户账户被完全接管。通过在 Reddit 帖子中嵌入指令,攻击者诱导 Comet AI 跳转至用户的 Perplexity 账户设置页面,提取其电子邮箱地址,并获取 Gmail 账户中的一次性密码。随后,AI 会将这些敏感信息发送给攻击者。
研究人员在报告中指出:“这次攻击展示了操纵 AI 助手执行违规操作是多么容易,而这些操作本应受到长期以来的网络安全技术保护。”该漏洞凸显了当前智能体(Agentic AI)设计中存在的一个根本性脱节:它们往往将外部数据视为可信输入。
Brave 已将这些发现披露给 Perplexity,以应对自主浏览器智能体带来的风险。随着浏览器逐渐向利用 AI 执行预订机票或管理登录等复杂任务的方向发展,数据泄露的可能性也在增加。这项研究发出了一则警告:如果不在内容与系统级指令之间建立严格的沙箱隔离,AI 智能体可能会成为凭据窃取的通道。
