國際研究機構 Gartner 上週發表網絡安全報告,最近開始流行的人工智能瀏覽器存在嚴重資料外洩風險及「提示注入攻擊」(Prompt Injection Attack)漏洞,呼籲企業全面禁止員工使用。
報告指,即使供應商已採取多項防護措施,現階段仍無法徹底根治相關安全問題。報告點名 Perplexity 旗下 Comet 及 OpenAI 推出的 ChatGPT Atlas 等 AI 瀏覽器,指這些產品預設將用戶體驗置於安全考量之上,令企業面臨前所未有的資訊安全威脅。
AI 瀏覽器定義與運作原理
Gartner 在題為《Cybersecurity Must Block AI Browsers for Now》的報告中,清晰界定 AI 瀏覽器 2 項核心元素。第 1 項是「AI 側邊欄」功能,用戶可透過瀏覽器開發商提供的人工智能服務,摘要、搜尋、翻譯網頁內容及進行互動。第 2 項是「代理交易能力」,瀏覽器可自主瀏覽網站、與網頁互動並完成各種任務,尤其在用戶已登入的網絡環境中執行操作。
市場上已有多間科技公司積極開發 AI 瀏覽器產品,Perplexity 於 2025 年 7 月正式推出 Comet 瀏覽器,宣稱可徹底改變用戶與互聯網互動方式。Comet 建基於 Chromium 開源平台,內置 Perplexity 的 AI 搜尋引擎作為預設選項,其「Comet Assistant」代理功能可代表用戶執行購物、預約、填寫表格等複雜任務。OpenAI 則於 2025 年 10 月推出 ChatGPT Atlas 瀏覽器,設有「代理模式」讓 ChatGPT 直接在用戶瀏覽器中執行操作,更加入「瀏覽器記憶」功能記錄用戶上網活動,以提供個人化建議。
核心安全風險解析
Gartner 報告警告,AI 側邊欄功能意味着敏感用戶資料會傳送至雲端 AI 後台處理,包括瀏覽中的網頁內容、瀏覽紀錄及已開啟的分頁。除非企業刻意加強安全及私隱設定並集中管理,否則資料外洩風險將大幅增加。網絡安全公司 LayerX 研究報告指出,AI 已成為企業資料外洩首要渠道,情況比影子 SaaS 及非受管檔案分享更嚴重,近半數員工透過非受管帳戶使用 GenAI 工具,完全脫離 IT 部門監控範圍。
報告特別提及「提示注入攻擊」威脅,這種攻擊手法透過在網頁內容嵌入惡意指令,當 AI 瀏覽器處理該網頁時,無法分辨用戶指令與不可信內容,導致 AI 將惡意內容當作用戶請求執行。Brave 瀏覽器安全研究團隊早前發現 Perplexity Comet 存在相關漏洞,攻擊者可將惡意指令以白色文字隱藏於白色背景中,或嵌入圖片內人眼難以察覺的淺色文字,AI 瀏覽器卻能完整讀取並執行。
OpenAI 資訊安全總監 Dane Stuckey 於社交平台 X 承認,提示注入攻擊仍屬「前沿、未解決的安全問題」,預料對手將投放大量時間及資源尋找方法令 ChatGPT 代理功能中伏。Perplexity 安全團隊亦於網誌撰文,表示問題嚴重程度「要求從根本重新思考安全架構」。安全研究員近期更發現名為「HashJack」的新型攻擊手法,透過在合法網址的「#」符號後加入惡意指令,由於網址片段不會離開 AI 瀏覽器,傳統網絡防護及伺服器端偵測完全無法發現。
企業實際影響與應用場景
Gartner 分析描繪多個企業可能面臨的風險情境,首先是員工或會利用 AI 瀏覽器自動完成強制性、重複性較高的工作任務,例如指示 AI 代為完成強制網絡安全培訓課程。另一情境是企業將代理瀏覽器連接至內部採購系統,大型語言模型的錯誤判斷可能令企業購入不需要物品,報告舉例指表格可能被填入錯誤資料、訂購錯誤辦公室用品,甚至預訂錯誤航班。
對於期望繼續使用 AI 瀏覽器的企業,Gartner 建議首先評估驅動 AI 瀏覽器的後台服務,了解其安全措施是否達到機構可接受風險水平。即使評估結果認可使用,企業仍須教育員工,讓他們明白瀏覽器分頁顯示的所有內容均可能傳送至 AI 服務後台,確保員工使用 AI 側邊欄功能時,不要在瀏覽器分頁開啟高度敏感資料。
企業安全專家建議採取多層防護策略,包括確保代理功能無法存取電郵以限制其執行某些操作能力,使用設定確保 AI 瀏覽器不會保留資料,以及限制 AI 瀏覽器只能從經審核的網域或來源擷取內容。網絡安全培訓公司 SocialProof Security 行政總裁 Rachel Tobac 建議用戶為 AI 瀏覽器帳戶使用獨立密碼及多重認證,同時考慮限制這些早期版本產品可存取範圍,與銀行、醫療及個人資料相關的敏感帳戶保持隔離。
企業瀏覽器市場發展趨勢
Gartner 的 2024 年市場指南顯示,52% 企業計劃於 2025 年採用安全企業瀏覽器,較 2023 年 22% 大幅上升。這反映業界日漸認識到瀏覽器已成為新安全邊界,取代傳統網絡控制措施角色。根據 Omdia 的 2025 年勞動力安全研究,員工約 85% 工作時間用於瀏覽器相關活動,包括使用 SaaS 及網絡應用程式,而 90% 企業容許員工從個人裝置存取公司資料。
Microsoft 於 2025 年 11 月 Ignite 大會上宣布推出「全球首個安全企業 AI 瀏覽器」,在 Edge for Business 中加入由 Microsoft 365 Copilot 驅動的「Copilot Mode」,強調具備 IT 團隊期望的安全基礎及管控功能。Google 亦於 Google Cloud Next 大會上公布 Chrome Enterprise 多項更新,包括 AI 驅動的企業搜尋功能及加強網絡釣魚防護。
Gartner 預測,到 2027 年 AI 代理將令利用帳戶漏洞的攻擊時間縮短 50%;到 2030 年,超過 40% 全球企業將因使用未經授權 AI 工具而遭遇安全及合規事故。研究機構調查發現,69% 網絡安全主管已有證據或懷疑員工在工作中使用公開 GenAI 工具,這些工具可增加知識產權流失、資料外洩及其他安全合規風險。
未來展望與總結
AI 瀏覽器代表人機互動重大變革,用戶可透過自然語言指示完成複雜網上任務,潛力無可置疑。然而 Gartner 結論明確指出,在當前技術條件下,AI 瀏覽器對大多數企業而言風險過高,建議資訊安全總監應在可見將來封鎖所有 AI 瀏覽器。即使企業完成風險評估後決定有限度開放使用,最終亦很可能需要制定一長串禁止使用場景清單,並承擔監察 AI 瀏覽器使用情況以執行相關政策的工作。
網絡安全專家 Bruce Schneier 於網誌直言,提示注入攻擊並非小問題,而是現行大型語言模型技術根本特性,這些系統無法分辨可信指令與不可信資料,攻擊方式變化無窮且沒辦法從根本阻止。他表示業界需要在大型語言模型方面取得新基礎科學突破,才有可能解決這個問題。對企業而言,在這一天來臨之前,審慎評估 AI 瀏覽器使用風險並採取相應管控措施,將是資訊安全策略重中之重。
資料來源: Gartner