隨著生成式AI和AI代理普及,AI龍頭也加入瀏覽器戰場,推出內建AI代理的瀏覽器,然而一旦攻擊者能對AI上下其手,就有可能引發嚴重的後果。
資安公司Zenity揭露,生成式AI搜尋服務公司Perplexity的瀏覽器Comet,存在新的安全風險,將其命名為PerplexedBrowser,攻擊者可透過間接提示注入(Indirect Prompt Injection)操控AI代理,在使用者毫不知情的情況下讀取本機檔案。Zenity強調,此為零點擊(Zero-Click)的攻擊型態,攻擊者不需要利用傳統軟體漏洞,也不需要使用者點擊惡意連結或下載程式,只要受害者將某些日常工作委託AI代理處理,就可能觸發攻擊流程。
Zenity在2025年11月向Perplexity通報相關問題,兩家公司後續都推出安全強化措施。Perplexity在Comet加入多項防護,其中一個是限制AI代理存取file://本機檔案路徑,以及要求涉及敏感操作時需要更嚴格的使用者確認。
PerplexedBrowser攻擊流程通常從看似正常的第三方內容開始,例如電子郵件、文件、網頁,或行事曆邀請。攻擊者會在這些內容中嵌入隱藏提示,使AI代理在解析資料時誤將其視為任務指令。
例如,攻擊者可寄送一封看似正常的會議邀請,將惡意提示藏在行事曆內容說明。當使用者要求Comet協助接受邀請、整理行程,或摘要會議資訊時,AI代理會讀取整段內容並執行其中的指令。由於AI代理難以區分資料與指令,這些隱藏提示就可能被當作使用者意圖的一部分。
在第一種攻擊情境中,惡意提示會誘導AI代理存取使用者電腦的本機檔案系統。Comet會依照指令瀏覽資料夾、搜尋特定檔案,並開啟內容,例如密碼清單、API金鑰,或設定檔等敏感資料。
一旦取得資料,代理接著被指示前往攻擊者控制的網站,並將讀取到的內容嵌入URL參數或網頁請求,再傳送出去,完成資料外洩。由於整個流程AI代理使用的都是正常瀏覽行為,因此使用者通常難以察覺異常。
Zenity強調,這項攻擊並不需要突破傳統安全機制,而是利用代理式瀏覽器的設計特性。AI代理本來就能代表使用者執行操作,因此一旦受到惡意提示影響,就可能在使用者權限下進行敏感操作。
熱門新聞
2026-03-06
2026-03-06
2026-03-09
2026-03-09
2026-03-09
