Brave Software发现了Perplexity AI的Comet浏览器中的一个安全漏洞，显示攻击者如何欺骗其AI助手泄露私人用户数据。

在8月20日发布的一个概念验证演示中，Brave的研究人员在Reddit评论中识别出了隐藏的指令。当Comet的AI助手被要求总结页面时，它不仅仅是总结——它还执行了隐藏的命令。

Perplexity对这一发现的严重性表示异议。一位发言人告诉Decrypt，该问题“在任何人注意到之前就已修补”，并表示没有用户数据受到损害。“我们有一个相当强大的奖励计划，”发言人补充道。“我们与Brave直接合作，识别并修复了这个问题。”

Brave正在开发自己的代理浏览器，坚称该漏洞在修补后几周内仍然可以被利用，并认为Comet的设计使其容易受到进一步攻击。

Brave表示，这一漏洞归结于像Comet这样的代理浏览器处理网页内容的方式。“当用户要求它总结一个页面时，Comet会将该页面的一部分直接提供给其语言模型，而不区分用户的指令和不受信任的内容，”报告解释道。“这使得攻击者能够嵌入隐藏命令，AI会将其执行，仿佛它们来自用户。”

提示注入：旧想法，新目标

这种类型的攻击被称为提示注入攻击。它不是欺骗一个人，而是通过在明文中隐藏指令来欺骗一个AI系统。

“这类似于传统的注入攻击——SQL注入、LDAP注入、命令注入，”Reveal Security的首席黑客Matthew Mullins告诉Decrypt。“这个概念并不新颖，但方法不同。你是在利用自然语言，而不是结构化代码。”

安全研究人员已经警告了几个月，提示注入可能会成为一个主要的麻烦，因为AI系统获得了更多的自主权。在5月，普林斯顿的研究人员展示了如何通过“记忆注入”攻击操纵加密AI代理，其中恶意信息被存储在AI的记忆中，后来被当作真实信息进行处理。

甚至被认为是创造“提示注入”一词的开发者Simon Willison也表示，这个问题远远超出了Comet。“Brave安全团队报告了它的严重提示注入漏洞，但Brave自己正在开发一个类似的功能，看起来注定会有类似的问题，”他在X上发布道。

Brave的隐私和安全副总裁Shivan Sahib表示，其即将推出的浏览器将包括“一套缓解措施，帮助减少间接提示注入的风险。”

“我们计划将代理浏览隔离到自己的存储区域和浏览会话中，以便用户不会意外地授予代理访问其银行和其他敏感数据的权限，”他告诉Decrypt。“我们将很快分享更多细节。”

更大的风险

Comet演示突显了一个更广泛的问题：AI代理被赋予强大的权限，但安全控制薄弱。由于大型语言模型可能误解指令——或过于字面地遵循指令——它们特别容易受到隐藏提示的攻击。

“这些模型可能会产生幻觉，”Mullins警告道。“它们可能完全失控，比如问‘你最喜欢的Twizzler口味是什么？’然后得到制作自制火器的指令。”

随着AI代理被直接访问电子邮件、文件和实时用户会话，风险很高。“每个人都想把AI应用到一切上，”Mullins说。“但没有人测试模型拥有什么权限，或者当它泄露时会发生什么。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。