AI浏览器隐私漏洞如何堵？

Comet浏览器为何成隐私大盗？

智东西8月26日报道，美国浏览器公司Brave团队在近期发现，Perplexity打造的AI浏览器Comet存在严重安全漏洞。攻击者只需在网页中植入恶意指令，就能让Comet自动登录网站、读取邮箱、获取验证码，将敏感信息发送给外部攻击者。整个过程耗时两分半，普通人也能轻松完成。

▲Brave团队披露的漏洞截图（图源：Brave）

Comet本质上是代替用户操作的AI代理。Brave研究团队在Reddit平台发布带恶意指令的帖子，让Comet总结内容。当AI识别到指令时，会直接执行，导致用户信息泄露风险。这一案例引发广泛热议，有网友指出，攻击者可通过“广撒网”方式植入提示词，让AI在总结信息时直接侵入银行账户。

一名在谷歌工作的安全工程师也指出，这种攻击方式并不高级，属于大模型安全第一课的范畴。Perplexity未及时修复漏洞，还推出Comet Plus订阅服务，引发用户不满。

▲Perplexity CEO在推特讨论更新（图源：黑客新闻）

目前Perplexity对漏洞事件未作回应，Brave称已向其报告问题，但修复耗时近一个月。这种攻击方式如何实现？AI浏览器和Agent产品该如何保护用户隐私？

发条帖子就能进行攻击，盗号全程耗时两分半

Comet浏览器的攻击原理简单明了。攻击者可将恶意指令隐藏在网页空白处、HTML注释或社交媒体评论中。这种手法曾被用于SEO优化，企业通过植入热搜关键词提升搜索排名。

浏览器会读取网页中所有内容，无法区分哪些是用户指令。注入的命令会指示浏览器自动导航到用户邮箱、提取密码、发送验证码至攻击者服务器。Brave团队创建演示案例，用户点击“总结当前网页”按钮时，Comet会处理隐藏指令。

▲Brave演示的恶意帖子（图源：Brave）

攻击者通过指令让Comet获取邮箱地址，使用验证码登录Gmail，绕开身份验证获取敏感信息。由于操作在后台完成，用户仅看到文字总结，需主动点击才能查看具体操作。

Comet将验证码和邮箱发送至Reddit评论区，全程耗时两分半。攻击者通过邮箱+验证码组合即可登录用户账户。

▲Comet发送用户信息至评论区（图源：Brave）

传统防护措施彻底失效，Agent产品形成“致命三重奏”

Brave指出，这种攻击对传统网络安全机制形成挑战。当AI浏览器执行来自不可信网页内容的指令时，同源策略和跨域资源共享等防护措施将失效。攻击者可借此获取银行账户、企业系统、私人邮件等敏感信息。

与传统漏洞不同，这种攻击只需植入自然语言指令即可实现跨网站访问，影响范围覆盖整个浏览器会话。Perplexity创始人Aravind Srinivas曾表示，Comet设计为“用户授权代表行动”，能模拟人类操作网站，目的是减少对第三方MCP依赖。

然而Brave研究显示，这种设计提升了操作能力，但也带来巨大风险。IT从业者指出，谷歌、OpenAI等企业未采用类似功能，而是使用无cookie虚拟机浏览网页，说明已意识到风险。

▲Agent的“致命三重奏”（图源：Simon Willison博客）

Simon Willison分析，Agent产品具备私人数据访问权限、接触不受信任内容、外部通信能力三大特征。若结合使用，攻击者可轻松诱骗AI访问数据并发送给攻击者。如今大模型的可用性依赖指令遵循能力，但问题在于它们会遵循任何说明。

Simon在博客中列举数十个类似案例，影响对象包括ChatGPT、Gemini、Amazon Q等主流模型。多数企业通过锁定泄露向量修复漏洞，但能使用工具的Agent带来更难以控制的风险，如向API发送请求、加载图像等。

保持安全的唯一方法是避免这三种能力的组合。

如何规避风险？Brave提出四则方法

Agent产品已具备核心功能，如何规避风险？Brave团队总结四条建议：一是AI浏览器应区分用户指令与网站内容，将用户指令作为上下文发送时，需将两者清晰分开；二是模型应根据任务和上下文判断操作是否与用户请求一致；三是涉及敏感信息的操作需用户确认；四是浏览器应将智能体浏览与常规浏览隔离，仅需总结网页时不应拥有打开邮箱等权限。

结语：进入真实世界前，Agent需先闯过“安全关”

目前国内外多家厂商已推出操作设备的Agent产品。这类工具能简化任务、提升效率，但需在进入真实世界前通过严格安全评估。正如谷歌安全工程师所言，Perplexity的漏洞极为基础，应在发布前得到关注。这一案例给其他Agent产品敲响警钟：在追求功能创新与用户体验时，绝不能以牺牲安全为代价。