Brave研究指出,Perplexity的Comet瀏覽器在執行總結此頁等任務時,會將部分網頁內容直接送入語言模型,卻未嚴格區分使用者指令與不受信任的頁面文字,因而可能存在間接提示注入攻擊風險。
攻擊者只要在網站或社群留言隱藏惡意指令,就能在用戶已登入的情況誘使代理執行未經授權的操作。Brave公開技術細節並強調,後續再測仍發現Comet未能完全阻斷這類攻擊手法,相關問題已再次回報Perplexity。
Brave的示範以網路論壇Reddit貼文為例,當用戶開啟含有劇透標籤的留言並點選Comet的總結功能時,人工智慧在處理頁面時讀到隱藏指令,隨即依序存取用戶的Perplexity帳號資料頁,並透過偽裝成不同網域的網址要求一次性密碼(OTP),再到Gmail讀取該密碼,最後將郵件與密碼貼到該留言。整個過程完全不需使用者額外操作,清楚展現人工智慧將不受信任內容誤認為使用者請求的風險。
Brave評估,這類攻擊對傳統Web安全機制造成挑戰,當人工智慧代理依照不受信任內容採取行動時,同源政策(Same Origin Policy,SOP)與跨來源資源共享(CORS)等既有防護都可能失效。由於代理具備與用戶相同的登入權限,其操作範圍可能延伸至銀行、企業系統、雲端郵件與儲存服務,潛在衝擊遠超過一般網站漏洞。與傳統跨站攻擊不同,這種模式是利用自然語言指令跨網域觸發,即使在攻擊者無法直接控制的社群平臺仍然有效。
Brave提出多項防護方向,首先,在提示組裝階段應嚴格區隔使用者指令與頁面內容,並將後者一律視為不受信任。其次,模型在規畫動作時必須檢查是否與用戶原始請求相符,避免被外部內容誤導。對於涉及隱私或安全的操作,則必須要求用戶在最後一步明確確認,最後,代理式瀏覽應與一般瀏覽模式清楚分離,並遵循最小權限原則設計。
除了Brave,Guardio Labs也發表Scamlexity研究,從情境測試切入,驗證代理式瀏覽器在不同情境下的風險行為。測試顯示Comet可能在假冒的Walmart電商頁面,自動下單並帶出瀏覽器儲存的付款方式與地址資料,也會在處理郵件時直接開啟尚未被Google Safe Browsing標記的富國銀行釣魚登入頁,甚至能透過PromptFix技術,將提示注入藏於偽造驗證碼(Captcha)的隱藏欄位,誘導代理下載檔案。
Guardio Labs的研究與Brave揭露的漏洞,皆顯示代理式瀏覽需在權限控管、使用者確認以及提示安全上建立更嚴謹的防線。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-11-30
2025-12-01
2025-12-04