不可见的截图提示注入：Comet和其他AI浏览器中的更多漏洞

这是关于代理浏览器安全与隐私挑战系列的第二篇文章。该漏洞研究由Artem Chaikin（高级移动安全工程师）进行，由Artem和Shivan Kaul Sahib（隐私与安全副总裁）共同撰写。

基于我们之前披露的Perplexity Comet漏洞，我们继续在整个代理浏览器领域进行安全研究。我们的发现证实了最初的担忧：间接提示注入不是孤立问题，而是整个AI驱动浏览器类别面临的系统性挑战。本文探讨了我们在不同实现中发现和测试的其他攻击向量。

应要求，我们暂时保留在另一款浏览器中发现的额外漏洞。我们计划在下周提供更多细节。

正如我们之前所写，能够代表用户执行操作的AI驱动浏览器功能强大但风险极高。如果您在浏览器中登录了银行或电子邮件提供商等敏感账户，仅仅总结Reddit帖子就可能导致攻击者能够窃取资金或私人数据。

我们始终负责任地向下列公司报告了这些问题，以便修复漏洞。正如我们之前所说，更安全的网络对每个人都有益。本系列前一篇博客文章引发的关于安全代理AI的深思熟虑评论和辩论，促使我们决定继续研究并公布我们的发现。

Perplexity Comet中的截图提示注入

Perplexity的Comet助手允许用户截取网站截图并就这些图像提问。这些截图可被用作另一种注入提示的方式，绕过传统的基于文本的输入清理。嵌入在图像中几乎不可见的恶意指令被处理为命令而非（不可信的）内容。

攻击原理：

• 设置：攻击者在网页内容中嵌入人类难以看到的恶意指令。在我们的攻击中，我们能够在黄色背景上使用浅蓝色文本在图像中隐藏提示注入指令。这意味着恶意指令对用户实际上是隐藏的。
• 触发：用户截取包含伪装恶意文本的页面截图。
• 注入：文本识别提取人类用户无法感知的文本（可能通过OCR，但由于Comet浏览器不是开源的，我们无法确定）。然后，提取的文本被传递给LLM，而不将其与用户查询区分开。
• 利用：注入的命令指示AI恶意使用其浏览器工具。

攻击演示：

[Vimeo视频演示]

Fellou浏览器中的网站导航提示注入

虽然Fellou浏览器对隐藏指令攻击表现出一定的抵抗力，但它仍然将可见的网页内容视为其LLM的可信输入。令人惊讶的是，我们发现仅仅要求浏览器访问网站就会导致浏览器将网站内容发送给其LLM。

攻击原理：

• 设置：攻击者在其网站上嵌入可见的恶意指令。
• 触发：用户只需要求AI助手导航到攻击者的网页（不需要显式的用户触发总结）。
• 注入：浏览器以允许网页文本覆盖或修改用户意图的方式，将用户查询和可见页面内容传递给LLM。
• 利用：注入的命令指示AI恶意使用其浏览器工具。

攻击演示：

[Vimeo视频演示]

披露时间线

Perplexity：

• 2025年10月1日：发现并通过截图进行提示注入的问题，并向Perplexity报告
• 2025年10月2日：向Perplexity发送公开披露通知
• 2025年10月20日：公开披露漏洞详情

Fellou：

• 2025年8月20日：发现并通过网站导航进行提示注入的问题，并向Fellou报告
• 2025年10月20日：公开披露漏洞详情

影响和意义

正如我们之前博客文章所指出的，当AI代理代表用户行动时，长期存在的Web安全假设会被打破。代理浏览器助手可能被不可信的网页内容提示注入，使得同源策略等保护措施变得无关紧要，因为助手以用户的认证权限执行。这让网站上的简单自然语言指令（甚至只是Reddit评论）能够触发跨域操作，触及银行、医疗保健提供商网站、企业系统、电子邮件主机和云存储。

代理浏览漏洞的一致主题

读者会注意到这些攻击看起来很相似。从根本上说，它们归结为在构建LLM提示时未能维护可信用户输入和不可信Web内容之间的明确界限，同时允许浏览器代表用户执行强大操作。

我们认识到这是一个难题，我们正在与研究和安全团队合作探索一些长期解决方案来解决此类问题。但在我们实现分类安全改进（即在整个浏览器领域）之前，代理浏览本质上是危险的，应该这样对待。同时，浏览器应将代理浏览与常规浏览隔离，并仅在用户显式调用时启动代理浏览操作（打开网站、阅读电子邮件等）。

在本系列的下一篇博客文章中，我们将讨论Brave为更安全地将代理浏览带给我们的1亿多用户所做的计划。