有網絡安全研究近期揭露多項針對新一代 AI 瀏覽器的攻擊手法,攻擊者可透過精心設計的電郵或網址連結,在用戶毫無察覺下操控 AI 代理程式執行惡意指令,包括刪除雲端儲存所有檔案、竊取敏感資料或將登入憑證發送至攻擊者伺服器。Straiker STAR Labs、Cato Networks、LayerX 及 Brave 等多間網絡安全機構分別發表研究報告,指出 Perplexity Comet、Microsoft Edge Copilot 及 Google Chrome Gemini 等主流 AI 瀏覽器均存在設計缺陷,傳統網絡安全防護機制對這類新型攻擊幾近無效。
AI 代理瀏覽器運作原理與風險根源
AI 代理瀏覽器與傳統瀏覽器核心差異,在於前者具備自主執行能力。用戶授權瀏覽器連接 Gmail、Google Drive、Slack 等服務後,AI 代理程式便能自動完成日常任務,例如整理電郵、安排會議或管理雲端檔案。這類瀏覽器透過 OAuth 協議取得服務存取權限,當用戶發出簡單指令,即自動執行一連串操作,大幅提升工作效率。Perplexity Comet 瀏覽器於 2025 年 7 月推出後迅速吸引大量企業用戶,OpenAI ChatGPT Atlas 及 The Browser Company Dia 亦相繼進入市場,令 AI 瀏覽器成為科技界競爭焦點。
市場研究機構 Market.us 數據顯示,全球 AI 瀏覽器市場規模於 2024 年達到 45 億美元(約港幣 351 億元),預計至 2034 年將增長至 768 億美元(約港幣 5,990 億元),複合年增長率達 32.8%。市場快速增長背後隱藏嚴重安全隱患,由於 AI 代理程式以用戶完整權限執行操作,一旦攻擊者成功操控代理程式,便可存取用戶已登入的所有服務,包括銀行帳戶、企業系統、私人電郵及雲端儲存。
零點擊 Google Drive 清除攻擊技術剖析
Straiker STAR Labs 安全研究員 Amanda Rousseau 發現一種針對 Perplexity Comet 瀏覽器的零點擊攻擊手法,攻擊者只需發送一封精心編寫的電郵,即可刪除用戶 Google Drive 內所有檔案。攻擊運作方式如下:當用戶向 AI 代理程式發出類似「請檢查我的電郵並完成所有最近的整理任務」指令時,代理程式會搜尋收件箱內相關訊息並執行相應操作。攻擊者利用此特性發送包含自然語言指令的電郵,內容看似普通檔案整理任務,實際卻指示 AI 代理程式刪除特定類型檔案或未歸類檔案。
Amanda Rousseau 在報告中指出,AI 代理程式執行這些操作時無需用戶確認,因代理程式將電郵內容視為合法工作指令。這項攻擊獨特之處在於既非越獄攻擊,亦非傳統提示注入攻擊。攻擊者只需採用禮貌語氣,提供循序漸進指示,並使用「幫我處理」、「代我完成」等措辭,將責任轉移至代理程式。研究報告強調,語序和語氣可引導大型語言模型服從惡意指令,而模型執行每個步驟前並不會驗證安全性。
一旦 AI 代理程式取得 Gmail 及 Google Drive 的 OAuth 存取權限,惡意指令便可迅速蔓延至共享資料夾及團隊雲端硬碟,令整間企業重要檔案面臨被刪除風險。Amanda Rousseau 警告企業須採取措施保護模型本身、代理程式、連接器及其處理的自然語言指令,因「當操作由不受信任內容驅動,特別是禮貌且結構完整的電郵時,企業便面臨一種全新零點擊資料清除風險」。
HashJack 攻擊將合法網站變成武器
Cato Networks 威脅研究團隊 Cato CTRL 同期披露另一項名為 HashJack 的攻擊技術,這種間接提示注入攻擊可將惡意指令隱藏在合法網址的井號(#)後方。網址中井號後內容稱為 URL 片段,瀏覽器只會在客戶端處理這些內容,不會發送至網頁伺服器,意味傳統網絡安全工具如入侵偵測系統(IDS)、入侵防禦系統(IPS)及內容安全政策(CSP)均無法偵測這類攻擊。
Cato Networks 資深安全研究員 Vitaly Simonovich 解釋,當用戶載入包含隱藏指令網頁並向 AI 瀏覽器助理提問,助理會將完整網址(包括井號後片段)納入上下文窗口,繼而執行攻擊者嵌入指令。攻擊者可透過電郵、社交媒體或直接在網頁上嵌入這類精心設計連結,用戶看見指向真實網站連結,誤以為內容安全可靠。
研究團隊測試 6 種不同類型惡意提示,發現 Perplexity Comet 代理功能最易受攻擊,AI 助理可被指示將用戶資料自動發送至攻擊者控制端點。Microsoft Edge Copilot 及 Google Chrome Gemini 亦存在漏洞,雖然部分攻擊會觸發確認對話框或將連結改寫為搜尋網址,但仍無法完全阻止攻擊。Claude for Chrome 及 OpenAI Atlas 則對 HashJack 攻擊免疫,因 Claude for Chrome 運作方式不同,無法直接存取 URL 片段。
HashJack 可用於多種惡意目的,包括回撥釣魚(在 AI 回應中插入偽造客戶服務電話號碼或 WhatsApp 連結)、資料外洩(指示代理瀏覽器將用戶資料發送至外部伺服器)、散佈虛假資訊(在 AI 回應中注入看似來自合法網站的錯誤訊息)、醫療誤導(推送錯誤藥物劑量指引)及憑證竊取(顯示偽造登入提示)。
企業面臨新型威脅格局
LayerX Security 安全研究總監 Michelle Levy 於 2025 年 10 月發表的 CometJacking 研究報告指出,AI 原生瀏覽器需為代理提示和記憶體存取建立安全設計原則,而非僅關注網頁內容安全性。CometJacking 攻擊透過在網址中嵌入惡意提示,可繞過 Perplexity 資料保護機制,攻擊者只需指示 AI 以 Base64 編碼對竊取資料進行混淆處理,便可將資料偽裝成無害文字並成功外洩。
LayerX 行政總裁 Or Eshed 表示:「AI 瀏覽器正成為企業下一個戰場。隨著瀏覽器成為 AI 通用介面,加上新代理瀏覽器將 AI 直接帶入瀏覽體驗,企業需將瀏覽器視為關鍵基礎設施。」這番話道出 AI 瀏覽器安全問題核心:傳統瀏覽器安全模型建基於嚴格域名隔離原則,每個網站與其他網站之間存在沙盒隔離,但 AI 助理打破此模型。當 AI 助理在瀏覽器運行,它可以讀取一個應用程式資料並在另一個應用程式執行操作,所有操作看似來自用戶本人,因此不違反任何瀏覽器政策。
SquareX 在 2025 年 11 月披露的研究更顯示 Perplexity Comet 瀏覽器內嵌擴充功能包含名為 MCP API 的隱藏接口,允許擴充功能在用戶裝置執行本地命令。雖然 Perplexity 發言人 Jesse Dwyer 否認發現,聲稱報告「完全錯誤」,但 SquareX 表示已有 3 名外部研究員成功複製攻擊,Perplexity 隨後亦進行「靜默更新」修復相關漏洞。
供應商回應與安全修補狀況
面對研究人員披露,各 AI 瀏覽器供應商回應截然不同。Perplexity 收到 Cato Networks 報告後將 HashJack 列為嚴重問題,並於 2025 年 11 月 18 日推出修補程式(Comet v142.0.7444.60)。Microsoft 確認相關行為並於 2025 年 10 月 27 日實施修復,同時強調其深度防禦策略可應對間接提示注入攻擊(Edge 142.0.3595.94)。
Google 回應則令安全研究人員失望。Google 將 HashJack 歸類為「預期行為」及低嚴重程度問題,表示不會修復。Simonovich 解釋,Google 不將模型輸出控制、誤導性回應甚至有害指令視為安全漏洞,而是將效果描述為「社交工程」而非安全邊界突破。值得注意是,Google 的 AI 漏洞獎勵計劃(AI VRP)明確表示,不將違反政策的內容生成和防護繞過視為安全漏洞。
企業應採取的防護措施
面對 AI 瀏覽器帶來新型威脅,企業資訊安全總監及 IT 團隊須重新評估網絡安全策略。Brave 私隱及安全副總裁 Shivan Sahib 指出,間接提示注入是整個 AI 瀏覽器類別面臨的系統性挑戰,傳統網絡安全假設在代理 AI 環境下已不適用,企業需要全新安全和私隱架構。
第一,將代理瀏覽功能與常規瀏覽功能分開。只有當用戶明確調用時,瀏覽器才應啟動代理瀏覽操作,如開啟網站或讀取電郵。使用代理瀏覽器功能時,用戶應避免保持敏感帳戶登入狀態,或在實施更強大保護措施前完全避免使用這類工具。
第二,實施最小權限原則。企業應評估 AI 瀏覽器是否真正需要存取電郵帳戶、發送電郵及讀取所有已登入網站敏感資料的能力。若用戶只是想摘要 Reddit 討論內容,便無需授予如此廣泛權限。
第三,記錄和監控 AI 助理活動。企業應記錄發送至大型語言模型的確切提示(包括網頁文字和 URL 片段標準化形式),監控代理程式所有自動化操作(包括觸發來源和片段文字),並將助理生成的輸出(如連結、電話號碼或登入介面)視為需要審核產物。
第四,部署專門 AI 瀏覽器安全工具。Palo Alto Networks 的 Prisma Browser Extension、LayerX 企業瀏覽器擴充功能及 Microsoft Edge for Business 等產品均提供針對 AI 瀏覽器安全功能,包括發現和管理 AI 瀏覽器、恢復瀏覽器內可見性、企業級資料外洩防護及身份控制等。
AI 瀏覽器未來發展趨勢
分析預測,至 2026 年初代理瀏覽器將成為大多數消費者主要使用方式。Gartner 研究預測,傳統搜尋量將在 2026 年前下降 25%,因生成式 AI 解決方案正成為替代答案引擎。這項轉變為企業帶來巨大生產力提升潛力,同時創造全新攻擊面。
Microsoft 在 2025 年 11 月 Ignite 大會推出 Edge for Business 作為「全球首款安全企業 AI 瀏覽器」,將 Microsoft 365 Copilot 功能與企業級安全、合規及控制功能結合,期望在提供 AI 瀏覽能力同時確保企業資料安全。這反映業界正逐步意識到 AI 瀏覽器安全重要性,並開始採取行動。
AI 瀏覽器安全問題歸根究底,在於 AI 代理程式缺乏區分用戶指令和不受信任網頁內容能力。在 AI 瀏覽器供應商解決這項根本設計缺陷前,企業和個人用戶都應謹慎評估使用這類工具風險,並採取適當防護措施保護敏感資料和系統安全。
