目前正热门的Comet AI浏览器代理(Agent)产品近日被爆出严重安全漏洞,只要黑客在Reddit或Facebook上放一段特殊提示词,Comet就可能在毫无警示下照单全收,不仅自动打开Gmail,还会抓出用户的邮件验证码发送给黑客,整个盗账号过程最快只需2分半钟。
这起事件引发安全圈与AI社交媒体广泛讨论,更被Google工程师点名是“连新手都会防的安全漏洞”,质疑开发商Perplexity对安全问题根本没有做好基本把关。
根据Brave安全团队公开的实验内容,他们在Reddit上发了一篇看似普通的贴文,实际上里面藏有“剧透屏蔽”的恶意指令。一旦用户点了Comet的“总结这篇文章”,这段被藏起来的指令就会被AI解读为行动命令,开始在后台执行:
自动打开Gmail
使用电子邮件登录
拿到验证码
把信里的OTP(一次性密码)送到黑客设计好的Reddit留言区
全程用户完全不会发现画面有变化,只会看到一段“文本总结”,黑客却已拿到登录用的密码组合。
这类攻击最可怕的地方是——完全不需要破解密码、没有技术门槛,只靠一段自然语言提示词就能绕过浏览器原有的权限限制,叫AI自己执行后门指令。
传统防线如同源政策(Same-origin policy)、跨域资源共享(CORS)在这种状况下毫无作用,因为浏览器代理本身就拥有用户完整的登录权限,一旦被利用,就等同让黑客坐上了你的计算机主控台。
事件曝光后,不少安全专家火速下场点名Perplexity对此毫无警觉,包括Google的AI安全工程师就痛批这是“连新手课程都会提防的攻击方式”。
此外,安全圈知名人士Simon Willison更指出,这类AI Agent结合了三大风险条件,堪称“致命三重奏”:
可访问私人数据
能处理不受信任的内容
有外部通信能力
这些能力是Agent的核心价值,但也是它最大风险来源,只要被恶意操纵,一次就能盗取大量用户数据。
