「瀏覽器能自己訂機(jī)票了，但沒人告訴你——它也能自己把你的工資轉(zhuǎn)走。」這是安全研究員在拆解Comet、Atlas等AI瀏覽器后的真實(shí)發(fā)現(xiàn)。當(dāng)大模型接管瀏覽器控制權(quán)，傳統(tǒng)安全防線正在從內(nèi)部瓦解。

一圖讀懂：攻擊鏈全景

Varonis威脅實(shí)驗(yàn)室畫出了一張讓人脊背發(fā)涼的攻擊路徑圖。我們按這張圖逐層拆解，看看你的AI瀏覽器是怎么從"智能助手"變成"內(nèi)鬼"的。

第一層：入口——你信任的網(wǎng)頁

攻擊起點(diǎn)出乎意料地普通：一個(gè)你主動訪問的網(wǎng)站。可能是搜索結(jié)果里的博客，也可能是郵件里的鏈接。在傳統(tǒng)瀏覽器里，XSS（跨站腳本攻擊）最多偷個(gè)Cookie，影響范圍鎖死在當(dāng)前頁面。

但在AI瀏覽器里，這個(gè)漏洞的殺傷力被放大了幾十倍。因?yàn)锳I代理（Agent）會"閱讀"頁面內(nèi)容，攻擊者可以把惡意指令藏進(jìn)看似無害的文字里——這叫"間接提示詞注入"（Indirect Prompt Injection）。

用戶看不到這些隱藏指令，但AI會忠實(shí)執(zhí)行。就像有人在你耳邊說話，旁邊的人聽不見，但你的行動已經(jīng)被操控了。

第二層：跳板——特權(quán)擴(kuò)展的"后門"

Perplexity的Comet瀏覽器有個(gè)關(guān)鍵設(shè)計(jì)：externally_connectable機(jī)制。這個(gè)技術(shù)術(shù)語翻譯成人話就是：perplexity.ai域名被列入了"白名單"，可以直接向?yàn)g覽器后臺發(fā)號施令。

配合debugger權(quán)限，這個(gè)后臺擴(kuò)展擁有近乎上帝視角的能力：點(diǎn)擊任意按鈕、填寫任何表單、讀取所有標(biāo)簽頁內(nèi)容。更麻煩的是，普通用戶在設(shè)置里找不到關(guān)閉它的開關(guān)。

OpenAI的Atlas、微軟Edge Copilot、Brave Leo AI雖然架構(gòu)不同，但核心邏輯相似——都必須打破瀏覽器傳統(tǒng)的沙盒隔離，讓AI能"動手"操作。

Varonis研究人員發(fā)現(xiàn)，這種設(shè)計(jì)是功能和安全之間的零和博弈：AI越能干，攻擊面就越寬。

第三層：收割——以你的身份做壞事

攻擊最難防的點(diǎn)在于：所有操作用的都是真實(shí)用戶憑證。AI代理登錄著你的郵箱、銀行、企業(yè)后臺，執(zhí)行指令時(shí)不會觸發(fā)二次驗(yàn)證。

惡意行為看起來和正常辦公一模一樣：發(fā)郵件、下載文件、跳轉(zhuǎn)頁面。安全系統(tǒng)很難區(qū)分"用戶在訂會議室"和"AI被誘導(dǎo)轉(zhuǎn)走數(shù)據(jù)"的區(qū)別。

攻擊者可以靜默讀取本地敏感文件、批量外發(fā)郵件、誘導(dǎo)跳轉(zhuǎn)到釣魚站點(diǎn)、甚至在設(shè)備上植入惡意軟件。傳統(tǒng)瀏覽器攻擊影響一個(gè)會話，AI瀏覽器攻擊可能端掉整個(gè)數(shù)字身份。

為什么偏偏是現(xiàn)在爆發(fā)？

AI瀏覽器不是新概念，但2024-2025年產(chǎn)品密集上市讓風(fēng)險(xiǎn)集中暴露。Perplexity的Comet、OpenAI的Atlas都在近期開放測試，微軟把Copilot深度集成進(jìn)Edge，Brave瀏覽器全線接入Leo AI。

這些產(chǎn)品趕的是同一個(gè)風(fēng)口：讓大模型從"聊天框"走進(jìn)"操作系統(tǒng)"。但安全架構(gòu)的迭代速度明顯落后——傳統(tǒng)瀏覽器花了二十年建立的隔離機(jī)制，被AI代理一句話就繞過了。

Varonis團(tuán)隊(duì)在測試中發(fā)現(xiàn)，廠商對"AI能做什么"的邊界定義模糊。用戶說"整理我的郵件"，AI怎么知道哪些可以轉(zhuǎn)發(fā)、哪些必須保密？這種語義層面的權(quán)限控制，目前還沒有成熟的技術(shù)方案。

更尷尬的是，很多攻擊向量在經(jīng)典瀏覽器時(shí)代就被標(biāo)記為"高危"，但AI瀏覽器為了功能流暢，主動選擇復(fù)用這些通道。externally_connectable本身是Chrome的標(biāo)準(zhǔn)API，debugger權(quán)限也是開發(fā)工具常用功能——單獨(dú)看都沒問題，組合在一起就成了特洛伊木馬。

開發(fā)者正在"拆東墻補(bǔ)西墻"

面對曝光，各家的應(yīng)急反應(yīng)耐人尋味。Perplexity被指出問題后，沒有公開回應(yīng)是否調(diào)整externally_connectable的白名單機(jī)制。OpenAI和微軟則強(qiáng)調(diào)"持續(xù)監(jiān)控異常行為"，但沒有承諾架構(gòu)層面的重構(gòu)。

這種回應(yīng)模式暴露了行業(yè)困境：AI瀏覽器的核心賣點(diǎn)就是"自主操作"，如果加太多人工確認(rèn)步驟，體驗(yàn)就退回傳統(tǒng)瀏覽器；如果完全放開，安全又不可控。

Brave瀏覽器的做法相對保守——Leo AI的權(quán)限被限制在特定場景，但代價(jià)是功能豐富度明顯落后于競品。用戶用腳投票，壓力最終還是會倒向"更激進(jìn)"的設(shè)計(jì)。

Varonis研究人員在報(bào)告中提到一個(gè)細(xì)節(jié)：他們測試時(shí)使用的攻擊代碼并不復(fù)雜，很多是公開可用的XSS載荷稍作修改。這意味著攻擊門檻極低，腳本小子（Script Kiddie）也能上手。

「這不是零日漏洞的軍備競賽，是設(shè)計(jì)層面的結(jié)構(gòu)性風(fēng)險(xiǎn)?！寡芯繄F(tuán)隊(duì)的判斷很直白——補(bǔ)丁可以打，但根子上的矛盾沒解決。

用戶能做什么？暫時(shí)不多

對普通用戶來說，現(xiàn)在的選項(xiàng)很有限。關(guān)閉AI功能？那不如直接用Chrome。仔細(xì)審查每個(gè)AI操作？產(chǎn)品設(shè)計(jì)上就沒給這個(gè)接口。等廠商更新？安全補(bǔ)丁的速度永遠(yuǎn)追不上攻擊者的創(chuàng)意。

企業(yè)IT部門的處境更棘手。員工為了提高效率，大概率會自行安裝這些瀏覽器。傳統(tǒng)的上網(wǎng)行為管理工具，識別不了AI代理的異常操作——因?yàn)榱髁靠雌饋硗耆戏ā?/p>

一個(gè)可能的過渡方案是網(wǎng)絡(luò)分段：把AI瀏覽器限制在特定虛擬機(jī)或容器里，敏感操作強(qiáng)制跳轉(zhuǎn)到傳統(tǒng)瀏覽器。但這需要額外的IT投入，且用戶體驗(yàn)斷崖式下跌。

安全廠商也在找機(jī)會。有初創(chuàng)公司開始推"AI代理防火墻"，專門檢測提示詞注入模式。但這類工具剛起步，誤報(bào)率高，還沒經(jīng)過大規(guī)模實(shí)戰(zhàn)檢驗(yàn)。

這張圖給我們的真正啟示

回看Varonis那張攻擊鏈圖，最刺眼的不是技術(shù)細(xì)節(jié)，是箭頭指向的終點(diǎn)——"Complete Browser Compromise"（完整瀏覽器淪陷）。在傳統(tǒng)安全語境里，這需要多個(gè)漏洞組合利用；在AI瀏覽器場景下，一個(gè)XSS就夠了。

這背后是控制權(quán)的轉(zhuǎn)移。以前是人操作瀏覽器，瀏覽器訪問網(wǎng)頁；現(xiàn)在是AI代理夾在中間，它既代表用戶決策，又直接連接網(wǎng)頁內(nèi)容。攻擊者只需要騙過AI，就能繞過所有面向人類的防護(hù)機(jī)制。

更深遠(yuǎn)的影響在于信任模型的崩塌。我們習(xí)慣了"看到才相信"——鏈接可疑就不點(diǎn)，彈窗奇怪就不輸密碼。但AI瀏覽器讓用戶"無感"完成操作，攻擊者也跟著隱身了。

Perplexity、OpenAI、微軟、Brave這幾家產(chǎn)品的競爭，短期內(nèi)不會放緩。功能迭代的壓力下，安全大概率繼續(xù)讓位。Varonis的研究像一張?zhí)崆暗截浀馁~單：技術(shù)債欠得越多，未來要還的利息越驚人。

如果你已經(jīng)在用Comet或Atlas，現(xiàn)在能做的只有一件事：檢查瀏覽器擴(kuò)展列表，確認(rèn)哪些擁有"debugger"或類似高權(quán)限——然后問自己，是否值得為這個(gè)"智能"承擔(dān)對應(yīng)的"裸奔"風(fēng)險(xiǎn)。至少在目前，答案還不明朗。