AI 浏览器指令注入漏洞揭秘：Brave 揭示 Perplexity Comet 安全隐患与防御之道

Brave 团队在对 Perplexity 的 Comet 浏览器进行安全研究时，发现了一项严重的指令注入漏洞。该漏洞允许恶意网站或社交媒体评论中的隐藏指令，诱导 AI 助手执行未经用户授权的操作，例如窃取登录凭证或敏感信息。此攻击绕过了传统的 Web 安全机制，因为 AI 助手在用户认证的会话中拥有完全权限。

该攻击的核心在于，Comet 在处理网页内容时，未能区分用户指令与来自网页的不可信内容，导致 AI 将嵌入的恶意指令误作为用户命令执行。研究人员演示了如何通过隐藏在 Reddit 评论中的指令，让 Comet AI 访问用户账户详情、窃取 OTP（一次性密码）并最终接管用户账户。这种间接指令注入的威胁，对当前依赖同源策略（SOP）和跨域资源共享（CORS）的 Web 安全模型构成了严峻挑战。

为应对此类风险，研究者提出多项防御策略：明确区分用户指令与网页内容；确保 AI 模型执行的任务与用户请求对齐；对敏感操作强制用户交互确认；以及将强大的代理浏览能力与常规浏览模式进行隔离。这些措施旨在构建更安全的代理浏览环境，防止用户在不知情的情况下暴露敏感数据。

此次漏洞揭示了 AI 浏览器在安全与隐私方面面临的根本性挑战。在 AI 助手能力日益增强的背景下，浏览器厂商必须优先部署强大的防御措施，确保 AI 行为与用户意图高度一致，而非将安全视为事后考量。Brave 致力于通过精细化权限管理和安全架构，保障用户在代理浏览中的隐私与安全。

Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet | Brave

The attack we developed shows that traditional Web security assumptions don’t hold for agentic AI, and that we need new security and privacy architectures for agentic browsing.

Brave SoftwareBrave Software