Perplexity推出的AI瀏覽器Comet,在結合人工智能協助瀏覽與任務執行的創新功能同時,也暴露出嚴重的安全漏洞,其核心問題是「間接提示語注入(Indirect Prompt Injection)」。當用戶要求Comet「摘要此網頁」時,瀏覽器會將網頁中的內容直接提交給內建的AI模型處理,然而,Comet無法區分真正的用戶指令與網頁中被故意夾帶的惡意指令,導致攻擊者可以在網頁隱藏特製的指令碼,讓AI誤以為是合法指令進行執行,從而控制用戶的帳號甚至竊取敏感資料。 這種攻擊方式的關鍵,就是Comet在解析和摘要網頁內容時,將整個頁面資料直接餵給底層大型語言模型(LLM),而非進行充分的內容篩選或隔離,導致惡意攻擊者可透過隱匿的文字格式,如白字白底、HTML註解,甚至社交媒體貼文中夾帶惡意提示語,觸發AI完成所設計的非法任務。這種現象被視為AI瀏覽器的一大安全挑戰,因為通常AI聊天機器人並無自主思考能力,對指令的判斷非常依賴輸入內容「字面上的意義」,容易受騙而執行攻擊者操控的指令。 Brave瀏覽器的開發團隊率先揭露此一脆弱點,指出攻擊成功可能造成用戶電子郵件、銀行帳密、企業系統存取權等機密資訊被竊取,具有相當高的危害潛力。Brave團隊於2025年8月20日發布報告,示範如何利用一則Reddit貼文的隱藏指令接管用戶的Perplexity帳戶,凸顯事件嚴重性。Perplexity的官方代表Jesse Dwyer回應已與Brave合作修補漏洞,但後續測試發現漏洞仍可能存在,顯示初步修補尚不完美,需要持續關注與改進。 此次事件凸顯了AI瀏覽器在技術實現上的幾個重要風險點:首先,AI助手需要讀取和執行來自用戶授權帳號、跨域資源的內容,是一把雙面刃,雖然大大提升使用體驗的便捷性,但同時讓內部代理AI在無法辨識內容真偽時容易遭受「提示語注入攻擊」。其次,傳統瀏覽器的安全架構基於程式碼執行與網頁信任的分離,但AI瀏覽器必須重新建立適合agentic AI的新安全與隱私防護架構,因為語言模型本身不能像傳統軟體一樣進行嚴格的權限隔離。 這場安全問題亦意味著大眾在享受AI技術帶來的翻轉性方便同時,必須警惕可能出現的全新攻擊向量。由於AI瀏覽器需要直接接觸至大量用戶個人數據及第三方服務,攻擊者若透過提示語注入成功,下場不僅是個資外洩,更可能直接操控用戶在企業內部系統或金融系統中的權限,損失難以估量。和以往黑客主要依賴技術破解不同,現在更可能採用自然語言的「提示語工程」,使AI自動化系統對錯誤指令做出行動,這也令產業界警覺AI安全防護策略需要大幅革新。 除了漏洞本身,安全專家也警告此事件顯示出AI產業整體尚未成熟的安全應變能力。目前許多AI模型來自OpenAI、Google、Meta等大廠,這些基礎模型的安全隱患會波及多個應用服務,包括Perplexity Comet。且由於AI安全漏洞的特殊性,業界相關資訊不易公開透明,部分出於避免引入更大風險,但這種不對稱資訊也讓使用者難以掌握真實風險,增加防範難度。 對於香港及台灣地區用戶而言,這一事件提醒在使用新型AI工具時需保持謹慎,特別是在連結帳戶、處理金融或個人敏感資訊時,更應關注所使用的AI產品是否已有完善的安全措施與持續更新。未來AI瀏覽器的發展勢必會提高使用效率與自動化操作層次,但伴隨的資訊安全威脅亦不可忽視,包括透過網站植入惡意內容誘導AI執行危險指令的可能性。 綜上所述,Perplexity Comet的「間接提示語注入」漏洞揭示了代理式AI瀏覽器在安全設計方面面臨的尖銳挑戰與教訓,也推動業界必須重新構築適用於AI代理的新型安全防護框架。用戶在享受人工智能帶來的便利時,亦須意識到數據安全的新威脅,並密切關注產品廠商在漏洞修復和安全強化上的實際成效與速度。 #AI瀏覽器 #人工智能安全 #PerplexityComet #提示語注入 #資安風險
