研究发现AI浏览器存在系统性漏洞，涉及间接提示注入攻击

Guardio安全研究人员发现，AI浏览器的自动代理功能存在系统性漏洞，攻击者无需欺骗用户，只需针对AI代理本身实施攻击即可操控浏览器行为，他们将这种新型威胁称为

为验证理论可行性，Guardio针对Perplexity的Comet浏览器设计了三类攻击场景并成功实施：

• 首次测试聚焦电商平台自动化购物功能，研究人员使用AI网页制作工具Lovable创建假冒Walmart商城，要求Comet购买Apple Watch。浏览器在未察觉异常的情况下，直接访问假网站并使用保存的信用卡信息和地址完成购买，整个过程无任何用户确认环节。

• 第二种测试模拟电子邮件处理场景，研究者通过ProtonMail服务发送伪装成富国银行投资经理的钓鱼邮件，内含未被Google Safe Browsing识别为有害的真实钓鱼链接。Comet自动将邮件标记为待办事项，未经验证直接点击链接并协助填写银行账户登录表单。

• 最后一种攻击采用创新的PromptFix手法，研究者将恶意指令隐藏在模拟人类点击验证(CAPTCHA)的网页中。当Comet访问此类页面时，会自动读取隐藏的提示注入指令，使攻击者获得对AI代理的直接控制权。

这一发现凸显了AI浏览器在快速发展中面临的安全矛盾。Perplexity Comet等产品为实现深度任务自动化（如跨应用数据整合、邮件日历关联），需获取用户谷歌账户、邮件、日历等敏感权限，已引发广泛隐私担忧[1]。尽管Comet宣称用户数据默认本地存储并具备AI检测钓鱼功能，但实际测试证明其安全机制存在严重缺陷[1]。

行业分析师指出，当前AI浏览器普遍存在"复杂任务处理能力短板"，在执行非标准化任务时易崩溃，且对动态验证码、网页弹窗等场景响应能力不足[1]。这种技术局限性与安全风险的叠加，使用户面临前所未有的隐私威胁——攻击者不再需要愚弄人类用户，只需操控AI代理即可完成敏感操作。

Guardio警告，随着AI浏览器市场持续扩张（目前包括Perplexity Comet、Fellou、Dia等19个产品），此类Scamlexity攻击可能迅速蔓延[2]。尤其当苹果等科技巨头也计划在Safari中集成AI搜索引擎时[3]，如何平衡AI功能便利性与用户安全将成为全行业必须解决的核心挑战。