在这个技术飞速发展的时代,浏览器作为我们访问信息的主要入口,也正经历着AI带来的深刻变革。展望2025年,无论是市场份额领先的谷歌Chrome还是微软Edge,都将积极整合AI功能。Chrome将集成Gemini,Edge则会引入Copilot,这些AI助手将被置于浏览器侧边栏,支持用户在浏览器内外进行灵活的操作,提供更智能、更便捷的浏览体验。
除了传统浏览器巨头的布局,AI浏览器的创新浪潮也在涌动。2025年7月,Perplexity推出了Comet AI浏览器,并于10月开放全球免费下载。同年9月,Atlassian以6.1亿美元现金成功收购了AI浏览器Dia的母公司The Browser Company。紧接着在10月,OpenAI发布了备受瞩目的ChatGPT Atlas浏览器,这一发布甚至在当天引发了谷歌市值蒸发数百亿美元的连锁反应,足见AI浏览器领域的巨大潜力和市场关注度。
相较于大型科技公司倾向于在现有浏览器架构上增设AI模块,ChatGPT Atlas、Comet等新兴AI浏览器则将大语言模型置于核心位置。它们通过AI Agent(智能代理)解析用户的指令,能够智能地维持会话状态,并能跨越多款应用和服务自动执行复杂的任务,有望极大地提升用户的工作效率和信息获取能力。
然而,AI浏览器在提供强大自动化能力的同时,也因其新颖的交互模式而面临着潜在的网络安全风险,这些风险的扩大也引发了行业的广泛担忧。在过去几个月里,关于AI浏览器安全问题的新闻屡见不鲜,成为公众关注的焦点。
近期,Perplexity的Comet浏览器就受到了安全漏洞的困扰。
3月4日,网络安全公司Zenity Labs公开披露了一个存在于Comet浏览器中的高危安全漏洞,被命名为“PleaseFix”。该漏洞的危险之处在于,它能够让攻击者有机可乘,从而接管用户的密码管理器并窃取敏感数据。Zenity Labs的研究人员强调,这并非一个简单的软件错误,而是AI自主代理系统固有的安全缺陷所致。
“PleaseFix”漏洞的工作原理颇具迷惑性:攻击者仅需发送一封普通的日历邀请,并将精心构造的恶意提示词隐藏在邀请内容中。一旦用户接受该邀请,Comet浏览器就会自动读取日历信息,并将其中隐藏的恶意指令误判为用户的真实任务而执行。
这是一种典型的“提示词注入”(Prompt Injection)攻击。AI模型难以有效区分用户直接发出的真实指令与嵌入在外部内容中的潜在指令。因此,攻击者无需植入恶意软件、无需获得额外权限,甚至无需用户进行额外的交互,就能轻松实现攻击目标。
Zenity Labs的研究人员通过演示实验证明,被注入的恶意指令可以操控AI浏览器访问用户本地文件系统,浏览目录并读取文件内容,最终将这些敏感数据泄露至攻击者控制的外部服务器。
OpenAI的ChatGPT Atlas浏览器同样面临着类似的挑战。
去年10月,ChatGPT Atlas发布后不久,AI安全公司NeuralTrust的一份报告指出,Atlas极易遭受提示词注入攻击。攻击者能够将恶意指令伪装成看起来合法的网址,而Atlas却将其误解为“高可信度的用户意图文本”,并据此执行危险操作。
该安全公司披露,攻击者可以通过精心构造的网址,例如以https开头,包含看似正常的域名(如my-wesite.com),并在其后附加AI代理能够理解的自然语言指令,例如“访问指定网站并执行特定操作” 。
由于这种伪造的网址无法通过常规的URL校验,AI浏览器会将网址中的指令视为直接发给AI代理的提示词,进而执行该指令,并将用户重定向至攻击者预设的网站。
安全研究员马蒂·霍尔达指出:“地址栏的提示信息通常被视为可信的用户输入,其检查力度弱于网页内容。这可能导致AI代理执行与用户预期目标网址无关的操作,包括访问攻击者指定的网站,甚至执行系统命令。”
此外,新加坡网络安全技术公司SquareX Labs还发现了Comet和Atlas两个AI浏览器共有的一个严重漏洞。该漏洞允许攻击者利用恶意的浏览器扩展,伪造浏览器界面内的AI助手侧边栏,借此窃取用户数据,诱骗用户下载恶意软件,甚至安装后门程序,从而实现对受害者计算机的持久远程控制。
从上述一系列安全事件可以清晰地看出,“提示词注入”已成为AI助手浏览器的核心安全隐患。攻击者可以利用各种隐蔽技巧,将恶意指令隐藏在看似无害的内容中,欺骗AI代理执行非预期的危险命令。
去年12月,OpenAI承认提示词注入攻击确实对Atlas浏览器构成风险,并且这种风险在短期内难以彻底消除。尽管如此,OpenAI正在积极采取一系列措施来增强Atlas的防御能力。
“提示词注入攻击,就像网络上的诈骗和社会工程学攻击一样,很难被完全‘攻克’,从根本上杜绝。”OpenAI在其官方博客中坦言。
为降低风险,OpenAI 推出了“登出模式”。在该模式下,AI代理在浏览网页时不会登录用户的个人账户。虽然这一模式在一定程度上牺牲了AI代理的便利性(例如无法自动填写登录信息),但却有效限制了攻击者能够获取的用户数据范围。
Perplexity同样将恶意的提示词注入视为“全行业需要共同解决的前沿安全难题”,并正在部署多层防御方案来抵御各类已知和未知的威胁。这些防御措施包括隐藏HTML/CSS指令、图片注入、内容混淆攻击以及目标劫持等多种技术的防范。
Perplexity认为:“提示词注入从根本上改变了安全防护的思路。我们正进入AI能力普及的时代,所有人都需要具备抵御日益复杂攻击的能力。相结合的防御体系,能够显著提高攻击者的门槛。”
网络安全公司迈克菲(McAfee)的CTO史蒂夫·格罗布曼对此表示,提示词注入攻击的根本原因在于,大语言模型目前还无法有效地区分指令的来源。模型的核心指令与其接收的外部数据之间的界限模糊,这使得企业难以从根本上解决这一安全问题。
格罗布曼进一步预测,AI浏览器的安全问题正演变成一场持续的“猫鼠游戏”:提示词注入攻击的手段不断推陈出新,而相应的防御技术也在持续升级。在这场漫长的对抗尚未出现明确的胜利者之前,使用AI主导的浏览器可能还难以成为大众普遍的选择。
