不可见的截图提示注入：Comet和其他AI浏览器中的更多漏洞

这是我们关于代理浏览器安全与隐私挑战系列的第二篇文章。该漏洞研究由Artem Chaikin（高级移动安全工程师）进行，由Artem和Shivan Kaul Sahib（隐私与安全副总裁）共同撰写。

在我们之前披露Perplexity Comet漏洞的基础上，我们继续在整个代理浏览器领域进行安全研究。我们的发现证实了最初的担忧：间接提示注入不是孤立问题，而是整个AI驱动浏览器类别面临的系统性挑战。本文探讨了我们在不同实现中发现和测试的其他攻击向量。

根据要求，我们暂时保留在另一款浏览器中发现的额外漏洞细节。我们计划在下周提供更多信息。

更新：我们已发布关于Opera Neon中提示注入漏洞的详细信息，此前应其要求我们负责任地披露并保留了该信息。

正如我们之前所写，能够代表用户执行操作的AI驱动浏览器功能强大但风险极高。如果您在浏览器中登录了银行或电子邮件提供商等敏感账户，仅仅总结Reddit帖子就可能导致攻击者窃取资金或私人数据。

我们一如既往地向下列公司负责任地报告了这些问题，以便修复漏洞。正如我们之前所说，更安全的网络对每个人都有益。本系列前一篇博文引发的关于安全代理AI的深思熟虑评论和辩论，促使我们决定继续研究并公开我们的发现。

Perplexity Comet中的截图提示注入

Perplexity的Comet助手允许用户对网站截图并就这些图像提问。这些截图可作为另一种注入提示的方式，绕过传统的基于文本的输入清理。嵌入图像中几乎不可见的恶意指令会被处理为命令而非（不可信的）内容。

攻击原理：

• 设置：攻击者在网页内容中嵌入人类难以看到的恶意指令。在我们的攻击中，我们能够在黄色背景上使用浅蓝色文本在图像中隐藏提示注入指令。这意味着恶意指令对用户实际上是隐藏的。
• 触发：用户对包含伪装恶意文本的页面进行截图。
• 注入：文本识别提取人类用户无法感知的文本（可能通过OCR，但由于Comet浏览器不是开源的，我们无法确定）。提取的文本随后传递给LLM，且未与用户查询区分开。
• 利用：注入的命令指示AI恶意使用其浏览器工具。

攻击演示：

[Vimeo视频演示]

Fellou浏览器中的网站导航提示注入

虽然Fellou浏览器对隐藏指令攻击表现出一定抵抗力，但它仍将可见网页内容视为其LLM的可信输入。令人惊讶的是，我们发现仅仅要求浏览器访问网站就会导致浏览器将网站内容发送给其LLM。

攻击原理：

• 设置：攻击者在其网站上嵌入可见的恶意指令。
• 触发：用户只需要求AI助手导航到攻击者的网页（无需显式的用户触发总结）。
• 注入：浏览器以允许网页文本覆盖或修改用户意图的方式，将用户查询和可见页面内容传递给LLM。
• 利用：注入的命令指示AI恶意使用其浏览器工具。

攻击演示：

[Vimeo视频演示]

披露时间线

Perplexity：

• 2025年10月1日：通过截图进行提示注入的问题被发现并报告给Perplexity
• 2025年10月2日：向Perplexity发送公开披露通知
• 2025年10月21日：公开披露漏洞细节

Fellou：

• 2025年8月20日：通过网站导航进行提示注入的问题被发现并报告给Fellou
• 2025年10月21日：公开披露漏洞细节

影响和意义

正如我们之前博文所述，当AI代理代表用户行动时，长期以来的Web安全假设会被打破。代理浏览器助手可能被不可信的网页内容提示注入，使得同源策略等保护措施失效，因为助手以用户的认证权限执行。这让网站上的简单自然语言指令（甚至只是Reddit评论）能够触发跨域操作，触及银行、医疗保健提供商网站、企业系统、电子邮件主机和云存储。

代理浏览漏洞的一致主题

读者会注意到这些攻击看起来很相似。从根本上说，它们归结为在构建LLM提示时未能维持可信用户输入和不可信Web内容之间的明确界限，同时允许浏览器代表用户执行强大操作。

我们认识到这是一个难题，并且正在与研究和安全团队合作探索一些长期解决方案。但在实现分类安全改进（即跨浏览器领域）之前，代理浏览本质上是危险的，应相应对待。在此期间，浏览器应将代理浏览与常规浏览隔离，并仅在用户显式调用时启动代理浏览操作（打开网站、阅读电子邮件等）。

在本系列的未来博文中，我们将讨论Brave为更安全地向我们1亿多用户提供代理浏览所做的计划。