【安全圈】研究人員在四分鐘內就讓 Comet AI 瀏覽器落入網絡釣魚陷阱

關鍵詞

AI釣魚

利用人工智能（AI）能力、代表用戶在多個網站自主執行操作的智能代理瀏覽器，可能被誘導并欺騙，從而落入釣魚和詐騙陷阱。

Guardio 在提前提供給 The Hacker News 的報告中表示，該攻擊的核心是利用 AI 瀏覽器對自身行為進行推理的特性，并將其反過來用于降低模型的安全防護機制。

安全研究員 Shaked Chen 表示：“AI 現在會在混亂且動態的頁面中實時運行，同時不斷請求信息、做出決策，并一路敘述自己的行為。不過，用‘敘述’這個詞其實相當保守 —— 它會不停地說，而且說得太多了。”

“這就是我們所說的Agentic Blabbering：AI 瀏覽器會暴露它所看到的內容、它認為正在發生的事情、它接下來計劃做什么，以及它將哪些信號視為可疑或安全。”

Guardio 稱，通過攔截瀏覽器與廠商服務器上運行的 AI 服務之間的流量，并將其作為輸入提供給生成對抗網絡（GAN），研究人員能夠在不到四分鐘的時間內讓 Perplexity 的 Comet AI 瀏覽器成為釣魚詐騙的受害者。

這項研究建立在 VibeScamming 和 Scamlexity 等現有技術之上，這些技術發現，氛圍編碼平臺和 AI 瀏覽器可能被誘導生成詐騙頁面，或通過隱藏的提示注入執行惡意操作。換句話說，由于 AI 代理在無人持續監督的情況下處理任務，攻擊面發生了轉變：詐騙不再需要欺騙人類用戶，而是以欺騙 AI 模型本身為目標。

Chen 解釋道：“如果你能觀察到代理將哪些內容標記為可疑、在哪些地方猶豫，更重要的是，它對頁面的想法和‘嘮叨’內容，你就可以將這些作為訓練信號。詐騙頁面會不斷迭代優化，直到 AI 瀏覽器穩穩地落入另一個 AI 為它設置的陷阱。”

簡單來說，其思路是構建一臺 “詐騙機器”，迭代優化并重新生成釣魚頁面，直到代理瀏覽器不再發出警告，并繼續執行威脅行為者的指令，例如在為退款詐騙設計的虛假網頁中輸入受害者的憑據。

此次攻擊有趣且危險的地方在于，一旦欺詐者針對某一特定 AI 瀏覽器迭代出可用的網頁，該網頁就能對所有依賴同一代理的用戶生效。換言之，攻擊目標已從人類用戶轉向 AI 瀏覽器。

Guardio 表示：“這揭示了我們即將面臨的糟糕前景：詐騙不僅會在野外發起和調整，還會針對數百萬人依賴的 exact 模型進行線下訓練，直到它們在首次接觸時就能完美生效。因為當你的 AI 瀏覽器解釋它為什么停止時，它其實是在教攻擊者如何繞過它。”

該披露發布之際，Trail of Bits 針對 Comet 瀏覽器演示了四種提示注入技術，通過利用瀏覽器的 AI 助手，在用戶要求總結其控制下的網頁時，從 Gmail 等服務中提取用戶私人信息，并將數據外傳至攻擊者服務器。

上周，Zenity Labs 還披露了兩起影響 Perplexity Comet 的零點擊攻擊，這些攻擊利用會議邀請中植入的間接提示注入，將本地文件外傳至外部服務器（代號 PerplexedComet）；若密碼管理器擴展已安裝并解鎖，則劫持用戶的 1Password 賬號。這些問題被統一命名為 PerplexedBrowser，目前已由該 AI 公司修復。

該攻擊通過一種名為意圖沖突（intent collision）的提示注入技術實現。安全研究員 Stav Cohen 表示，這種情況發生在 “代理將用戶的良性請求與來自不可信網頁數據的攻擊者控制指令合并到單一執行計劃中，卻沒有可靠方法區分二者” 時。

提示注入攻擊對于大語言模型（LLM）及其集成到企業工作流程來說，仍然是一項根本性的安全挑戰，主要原因是完全消除此類漏洞可能并不現實。2025 年 12 月，OpenAI 指出，此類弱點 “幾乎不可能” 在代理瀏覽器中被徹底解決，盡管相關風險可以通過自動化攻擊發現、對抗訓練和新的系統級安全措施來降低。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！