浏览器市场正在经历一场由AI驱动的深层次重构。传统巨头如谷歌与微软,选择将Gemini和Copilot嵌入Chrome与Edge的侧边栏;而真正搅动风云的,是ChatGPT Atlas、Perplexity Comet等一批“原生AI浏览器”。它们将大语言模型置于产品核心,试图让浏览器从被动工具演变为能理解意图、自主执行任务的智能体。
这场效率革命的光环之下,阴影也随之浮现:过去几个月,关于AI浏览器的新闻,似乎总与安全漏洞捆绑出现。
最近一次警钟由Perplexity的Comet浏览器敲响。3月4日,网络安全公司Zenity Labs披露了一个名为“PleaseFix”的高危漏洞。这并非传统代码缺陷,而是AI代理系统固有的设计困局。攻击者只需发送一封嵌有恶意提示词的普通日历邀请,用户一旦接受,Comet的AI便会将邀请中的指令当作真实任务执行。
整个过程无需恶意软件,无需额外权限,AI无法区分用户指令与外部内容中的“埋伏”,导致用户本地文件被读取并泄露。这被称为“提示词注入攻击”,已成为AI浏览器的阿克琉斯之踵。
即便是备受瞩目的OpenAI ChatGPT Atlas也未能幸免。在其发布后不久,安全研究便指出,攻击者可构造一个以https开头的虚假网址,在其中夹带自然语言指令。由于Atlas将该网址内容视为“高可信度用户意图”,便会执行指令,例如将用户重定向至恶意网站。
安全研究员马蒂·霍尔达解释道:“地址栏的提示词检查力度弱于网页内容,被视为可信输入。这导致AI代理可能执行与目标网址无关的危险操作。”
更为复杂的是,新加坡SquareX Labs还发现了跨Comet和Atlas的通用风险:攻击者能利用恶意扩展伪造浏览器内的AI助手侧边栏,从而窃取数据、诱骗下载,甚至植入持久性后门。
所有案例都指向同一核心:提示词注入。攻击者通过混淆、隐藏指令,诱使AI代理执行非预期命令,这从根本上挑战了现有的安全模型。
面对这场“猫鼠游戏”,厂商的回应显得谨慎且务实。OpenAI承认此风险短期内无法根除,并将其类比为“网络上的社会工程学攻击”。作为缓解措施,Atlas推出了“登出模式”,让AI在浏览网页时不登录用户账户,以限制数据暴露范围,尽管这在一定程度上牺牲了便利性。
Perplexity则将提示词注入定义为“全行业的前沿安全难题”,宣称采用包含实时检测、安全加固、用户管控在内的多层防护体系来提高攻击门槛。
迈克菲CTO史蒂夫·格罗布曼指出了问题的本质:大语言模型难以清晰划分核心指令与外部数据的边界。这种模糊性让彻底防御变得异常困难。
AI浏览器带来的生产力跃升令人兴奋,但其安全地基尚在摇晃。在提示词注入这场攻防战未见分晓之前,将浏览器完全交给AI主导,或许仍将是一部分勇于尝鲜者的游戏,而非大众的稳妥之选。效率与安全的天平,仍在寻找新的平衡点。
