研究人员警告AI浏览器存在安全漏洞

人工智能正日益融入日常科技，包括网络浏览器。然而，Malwarebytes的最新研究令人担忧，这种转变可能会催生出一种新型攻击，这种攻击并非依赖于代码，而是依赖于语言。

问题的核心是一种名为“即时注入”的技术，这种方法可以诱骗大型语言模型执行嵌入在原本无害内容中的隐藏指令。Malwarebytes 的发现表明，随着浏览器集成能够与网站进行更深入交互的 AI 助手，它们也可能更容易受到此类操纵。

LLM 的设计初衷是遵循用户提示（无论是输入的问题、摘要请求还是命令）来执行任务。问题在于，这些模型并不总是能在内部指令（例如开发人员强制执行的针对恶意行为的规则）与用户或第三方内容提供的外部输入之间划出清晰的界限。

这一弱点为攻击者创造了可乘之机。即时注入依赖于语言欺骗：攻击者并非利用软件漏洞，而是将精心设计的命令嵌入文本或数据中。当人工智能系统获取这些文本（例如，来自网页或 PDF 文件）时，它可能会将这些指令解释为合法指令，并像用户发出指令一样执行它们。

Malwarebytes 的研究表明，看似普通的网站或社交媒体评论可能会将这些提示偷偷带入 AI 浏览器的命令流，从而可能导致未经授权的操作。其中一种方法涉及隐形格式，例如将指令隐藏在白色背景上的白色文本中。人类不会注意到这种欺骗行为，但 AI 可能会注意到。

随着浏览器从简单的人工智能助手进化为研究人员所说的“代理浏览器”，风险也随之增大。人工智能浏览器仅仅增强了现有的功能：总结文章、回答问题或简化搜索——这些任务仍然依赖于用户的监督。

相比之下，代理浏览器的设计初衷是实现自主性。它们无需等待手动点击，而是可以在线执行多步骤操作，例如预订航班、管理账户或购物。在获得适当权限后，代理浏览器可以作为用户的代理与网站交互，发送付款详情或填写敏感信息，而无需实时监控。

其便利性显而易见。用户可能会要求代理浏览器查找下个月飞往巴黎的最便宜航班，并自动预订。但其安全隐患也同样严峻：如果系统遇到恶意构建的网站，它可能会无意中泄露支付凭证，或发起用户原本不打算进行的交易。

在另一项研究中，Brave 的人工智能助手 Leo 被用于探索这些风险。该公司报告称，Perplexity 的实验性 Comet 浏览器在针对间接提示注入攻击进行测试时暴露出漏洞。在这些情况下，有害指令并非由用户输入，而是嵌入在浏览器处理过程中的外部内容中。

Brave 表示，这些漏洞凸显了更广泛的行业挑战：确保代理系统能够区分用户发出的命令和浏览过程中遇到的背景材料。如果无法区分，攻击者就可以使用文本内容作为攻击媒介。

Perplexity 曾两次尝试修补 Comet 以抵御这些攻击，但 Brave 表示这些修复仍未完全解决根本问题。

研究人员认为，更强大的过滤器和更严格的输入通道隔离对于保护代理浏览器免受即时注入攻击至关重要。在这些防护措施成熟之前，专家建议谨慎行事。

安全做法包括限制授予代理浏览器的权限、保持软件更新以及在允许自动交互之前检查网站来源。多因素登录等强身份验证方法可以减少凭证被盗的影响，而监控活动日志则有助于及早发现异常。安全分析师还建议，不要在未经人工确认的情况下委托高风险操作，例如大额金融交易。