智能浏览器安全：Perplexity Comet中的间接提示注入

指令注入威胁

在Brave，我们正在开发浏览器内置AI助手Leo的网页浏览能力，使其能够代表用户进行操作。用户不仅可以询问“总结此页面关于伦敦航班的信息”，还可以命令：“为我预订下周五飞往伦敦的航班。”AI不仅会阅读内容，还会自动浏览并完成交易。这将显著扩展Leo的功能，同时保持Brave的隐私保障和强大的安全防护，保护用户数据和浏览会话。

这种智能浏览功能非常强大，但也带来了重大的安全和隐私挑战。随着用户对AI浏览器的熟悉，并开始在登录会话中信任它们处理敏感数据（如银行、医疗保健和其他关键网站），风险会成倍增加。如果模型产生幻觉并执行用户未请求的操作怎么办？更糟糕的是，如果一个看似良性的网站或社交媒体网站上的评论可以通过向AI助手添加不可见指令来窃取您的登录凭据或其他敏感数据怎么办？

为了将我们的实现与其他方案进行比较，我们检查了几种现有解决方案，例如Nanobrowser和Perplexity的Comet。在研究Comet时，我们发现了漏洞，并向Perplexity报告了这些漏洞，这些漏洞凸显了浏览器中智能AI实现面临的安全挑战。这次攻击展示了操纵AI助手执行被长期Web安全技术阻止的操作是多么容易，以及用户在智能浏览器中需要新的安全和隐私保护。

漏洞原理

本文讨论的漏洞在于Comet处理网页内容的方式：当用户要求“总结此网页”时，Comet将网页的一部分直接馈送给其LLM，而不区分用户指令和网页中不受信任的内容。这允许攻击者嵌入间接提示注入有效负载，AI会将这些负载作为命令执行。例如，攻击者可以通过另一个标签页中页面上的预制文本获取用户电子邮件的访问权限。

攻击流程

1. 设置：攻击者通过各种方法在Web内容中嵌入恶意指令。在他们控制的网站上，攻击者可能使用白色背景上的白色文本、HTML注释或其他不可见元素隐藏指令。或者，他们可能将恶意提示注入到社交媒体平台（如Reddit评论或Facebook帖子）上的用户生成内容中。

2. 触发：毫无戒心的用户导航到此网页并使用浏览器的AI助手功能，例如单击“总结此页面”按钮或要求AI从页面提取关键点。

3. 注入：当AI处理网页内容时，它会看到隐藏的恶意指令。由于无法区分应总结的内容和不应遵循的指令，AI将所有内容视为用户请求。

4.利用：注入的命令指示AI恶意使用其浏览器工具，例如导航到用户的银行网站、提取保存的密码或将敏感信息外泄到攻击者控制的服务器。

这种攻击是间接提示注入的一个例子：恶意指令嵌入在外部内容（如网站或PDF）中，助手在处理用户请求时会处理这些内容。

攻击演示

为了说明Comet中此漏洞的严重性，我们创建了一个概念验证演示：

在演示中，您可以看到：

• 用户访问Reddit帖子，其中包含隐藏在剧透标签后面的提示注入指令的评论
• 用户单击Comet浏览器的“总结当前网页”按钮
• 在处理页面以进行总结时，Comet AI助手看到并处理这些隐藏指令
• 恶意指令命令Comet AI：
  • 导航到https://www.perplexity.ai/account/details并提取用户的电子邮件地址
  • 导航到https://www.perplexity.ai./account并使用此电子邮件地址登录以从Perplexity接收OTP（一次性密码）（注意：尾随点创建了不同的域，perplexity.ai.与perplexity.ai，以绕过现有身份验证）
  • 导航到https://gmail.com，用户已在此登录，并读取收到的OTP
  • 通过回复原始Reddit评论外泄电子邮件地址和OTP

攻击者得知受害者的电子邮件地址，并可以使用外泄的OTP和电子邮件地址组合接管他们的Perplexity账户。

一旦用户尝试在Comet中总结包含恶意评论的Reddit帖子，攻击就会在没有任何进一步用户输入的情况下发生。

影响和意义

这种攻击对现有的Web安全机制提出了重大挑战。当AI助手遵循来自不受信任网页内容的恶意指令时，传统保护措施如同源策略（SOP）或跨源资源共享（CORS）都变得无效。AI在经过身份验证的会话中拥有用户的全部权限，可能访问银行账户、企业系统、私人电子邮件、云存储和其他服务。

与通常影响单个站点或需要复杂利用的传统Web漏洞不同，这种攻击通过嵌入在网站中的简单自然语言指令实现跨域访问。恶意指令甚至可以包含在攻击者不控制的网站上的用户生成内容中（例如，隐藏在Reddit评论中的攻击指令）。这种攻击在交互上是间接的，在范围上是浏览器范围的。

我们开发的攻击表明，传统的Web安全假设不适用于智能AI，我们需要为智能浏览设计新的安全和隐私架构。

可能的缓解措施

在我们的分析中，我们提出了以下可以防止此类攻击的策略。我们将在本系列的下一篇博客文章中更全面地讨论此主题。

浏览器应区分用户指令和网站内容

浏览器在将用户指令和网站内容作为上下文发送到后端时应明确区分它们。页面内容应始终被视为不受信任。请注意，一旦后端模型同时获得受信任的用户请求和不受信任的页面内容，其输出必须被视为潜在不安全。

应检查模型的输出是否与用户一致

基于任务和上下文，模型会提出浏览器要采取的操作；这些操作应被视为“潜在不安全”，并应独立检查其是否与用户请求一致。这与前一点关于区分用户请求（受信任）和页面内容（始终不受信任）相关。

安全和隐私敏感操作应需要用户交互

无论先前的代理计划和任务如何，模型应要求明确的用户交互以执行安全和隐私敏感任务。例如：发送电子邮件应始终在发送前提示用户确认，代理绝不应自动单击通过TLS连接错误插页。

浏览器应将智能浏览与常规浏览隔离

正如这次攻击所证明的，智能浏览对用户来说是一种固有强大但有风险的模式。用户在日常浏览时“意外”进入此模式应该是不可可能的。如果用户只是想总结Reddit讨论，浏览器真的需要能够打开您的电子邮件账户、发送电子邮件并从每个登录的站点读取敏感数据吗？与浏览器中的所有内容一样，权限应尽可能最小化。强大的智能功能应与常规浏览任务隔离，并且这种差异应对用户直观明显。在智能安全的这些早期阶段，这种清晰的分离尤其重要，因为浏览器供应商仍在研究如何防止安全和隐私攻击。在未来的帖子中，我们将更多介绍我们如何通过细粒度权限致力于实现更安全的智能浏览体验。

披露时间线

• 2025年7月25日：发现漏洞并向Perplexity报告
• 2025年7月27日：Perplexity确认漏洞并实施初步修复
• 2025年7月28日：重新测试显示修复不完整；向Perplexity提供了其他详细信息和评论
• 2025年8月11日：向Perplexity发送一周公开披露通知
• 2025年8月13日：最终测试确认漏洞似乎已修补
• 2025年8月20日：公开披露漏洞详细信息（更新：在此博客文章发布后的进一步测试中，我们得知Perplexity仍未完全缓解此处描述的攻击类型。我们已向他们重新报告此问题。）

研究动机

我们坚信提高智能浏览的隐私和安全标准。更安全的Web对每个人都有益。正如我们所看到的，赋予代理在Web上行动的权限，尤其是在用户经过身份验证的上下文中，会带来重大的安全和隐私风险。我们进行此研究的目标是尽早发现这些风险并展示实际防御措施。这有助于Brave、Perplexity、其他浏览器以及（最重要的）所有用户。

我们期待与Perplexity以及更广泛的浏览器和AI社区合作，加强智能AI的安全性，并在适当的情况下标准化智能功能所依赖的安全边界。

结论

Perplexity Comet中的此漏洞凸显了智能AI浏览器的一个基本挑战：确保代理仅采取与用户期望一致的操作。随着AI助手获得更强大的功能，间接提示注入攻击对Web安全构成严重风险。

浏览器供应商必须在部署具有强大Web交互功能的AI代理之前实施针对这些攻击的强大防御。在构建更强大的AI工具的竞赛中，安全和隐私不能是事后考虑。

自成立以来，Brave一直致力于为用户提供行业领先的隐私和安全保护，并推广反映这一承诺的Web标准。在本系列的下一篇博客文章中，我们将讨论Brave保护浏览器代理的方法，以便向我们近1亿用户提供安全的AI浏览。