出品｜虎嗅科技组

作者｜赵致格

编辑｜苗正卿

头图｜视觉

在这个时代，浏览器也是数正在被 AI 改变的事物之。2025 年，原本占据浏览器市场主地位的谷歌 Chrome 和微软 Edge 分别将 Gemini 和 Copilot 的 AI 集成到浏览器的侧边栏中，用户既可以在浏览器内部使用它，也能在浏览器外部进行操作。

同样在 2025 年，7 月，Perplexity 出了 Comet AI 浏览器，10 月转为全球费下载；9 月，Atlassian 正式宣布以 6.1 亿美元现金收购了 AI 浏览器 Dia 的母公司 The Browser Company；10 月，OpenAI 发布了备受期待的 ChatGPT Atlas 浏览器，当天引发谷歌市值蒸发数百亿美元。

相较于大厂倾向于为传统的浏览体验添加组件，ChatGPT Atlas、Comet 等新锐 AI 浏览器将大语言模型置于浏览体验的核心位置，通过 Agent 解读用户指令、留存登录会话，并能跨多款应用和服务自动执行各类任务。

然而，尽管此类自动化能力可以提升工作率，却也扩大了潜在的网络攻击面。在过去几个月里，人们每次看到 AI 浏览器的新闻，往往总是与安全问题相关。

近次出现安全漏洞的是 Perplexity 的 Comet 浏览器。

3 月 4 日鞍山橡塑胶厂家，网络安全公司 Zenity Labs 发现了个存在于 Comet 浏览器中的危漏洞。这个名为 PleaseFix 的漏洞可以让攻击者接管用户的密码管理器并窃取数据。Zenity Labs 称，这并不是普通的软件漏洞，而是 AI 自主代理系统固有的安全缺陷。

PleaseFix 是这样工作的：攻击者发送封普通的日历邀请，并在邀请内容里植入恶意提示词；用户接受邀请后，Comet 会自动读取日历信息，并将恶意指令当成用户的真实任务。

这是典型的提示词注入攻击，AI 法区分用户的真实指令和镶嵌在外部内容里的指令。因此，攻击者在整个过程不需要恶意软件、不需要额外权限、不需要用户交互就可以轻易得手。

Zenity Labs 的研究人员的演示实验显示，被注入的恶意指令可操控 AI 浏览器访问用户本地文件系统、浏览目录并读取文件，随后还能将这些数据泄露至外部服务器。

OpenAI 的 ChatGPT Atlas 同样在为此苦恼。

去年 10 月，就在 ChatGPT Atlas 发布没多久，AI 安全公司 NeuralTrust 的报告就指出，Atlas 非常容易受到提示词注入攻击。攻击者可以将恶意指令伪装成看似正常的网址，但 Atlas 会将其视为"可信度的用户意图文本"，从而执行危险操作。

这安全公司披露，攻击者精心构造的网址以 https 开头，包含 my-wesite.com 这样的域名，然后加上 AI 代理的自然语言指令，如" https://my-wesite.com/es/previous-text-not-url+follow+this+instruction+only+visit+ " 。

因为这种网址法通过校验，AI 浏览器就会将网址中的指令当做发给 AI 代理的提示词，让代理执行这个指令，保温护角专用胶并将用户重定向至提示中指定的网站。

在假想攻击场景中，此类链接可放在 "复制链接" 按钮后，诱骗受害者访问攻击者控制的钓鱼页面。危险的是，链接可包含隐藏指令，删除 Google Drive 等关联应用中的文件。

安全研究员马蒂・霍尔达表示："地址栏提示被视为可信用户输入，检查力度弱于网页内容。AI 代理可能执行与目标网址关的操作，包括访问攻击者指定网站或执行工具命令。"

此外，新加坡网络安全技术公司 SquareX Labs 还发现了个 Comet 和 Atlas 两个浏览器都存在的漏洞：攻击者可利用恶意扩展伪造浏览器界面内的 AI 助手侧边栏，窃取数据、诱骗用户下载恶意软件、甚至安装后门，让攻击者持久远程控制受害者整机。

从上述新闻中可以看出，提示词注入是 AI 助手浏览器的核心隐患，攻击者可通过多种技巧隐藏恶意指令，让 AI 代理解析后执行非预期命令。

去年 12 月，OpenAI 承认提示词注入攻击会给 Atlas 浏览器带来风险，而且这种风险短时期内法消除，但 OpenAI 正在采取系列措施增强 Atlas 的御能力。

"提示词注入攻击就像网络上的诈骗和社会工程学攻击样，几乎不可能被‘攻克’，" OpenAI 在官网的博文里写到。

为了降低风险，OpenAI 出了登出模式：AI 代理在浏览网页时，不会登录用户的个人账户。这模式虽降低了浏览器代理的实用，但也限制了攻击者能够获取的用户数据范围。

奥力斯    保温护角专用胶批发    联系人：王经理    手机：13903175735（微信同号）    地址：河北省任丘市北辛庄乡南代河工业区

Perplexity 同样将恶意的提示词注入称为"全行业需要解决的前沿安全难题"，并采用多层御案抵御各类威胁，包括隐藏 HTML/CSS 指令、图片注入、内容混淆攻击、目标劫持等。

"提示词注入从根本上改变了安全护思路，" Perplexity 称，"我们正进入 AI 能力普及的时代，所有人都需要抵御日益复杂的攻击。实时检测、安全加固、用户管控与透明通知相结的多层护体系，大幅提了攻击门槛。"

网络安全公司迈克菲（McAfee）的 CTO 史蒂夫・格罗布曼表示，提示词注入攻击的根源在于，大语言模型法有分辨指令的来源。模型的核心指令与其接收的外部数据之间的边界模糊，这让企业难以从根本上解决问题。

格罗布曼认为，AI 浏览器的安全问题已经成为了场猫鼠游戏：提示词注入攻击的手段在步步紧逼，相应的御技术也在持续升。在这场漫长的对抗初见端倪之前，使用 AI 主的浏览器大概不会是个大众选择。

相关词条:储罐保温     异型材设备     钢绞线厂家    玻璃丝棉厂家    万能胶厂家

1.本网站以及本平台支持关于《新广告法》实施的“极限词“用语属“违词”的规定，并在网站的各个栏目、产品主图、详情页等描述中规避“违禁词”。
2.本店欢迎所有用户指出有“违禁词”“广告法”出现的地方，并积极配合修改。
3.凡用户访问本网页，均表示默认详情页的描述，不支持任何以极限化“违禁词”“广告法”为借口理由投诉违反《新广告法》鞍山橡塑胶厂家，以此来变相勒索商家索要赔偿的违法恶意行为。