最新安全警告,研究员披露“零点击清除器”AI浏览器漏洞,以简单请求大规模删除Google Drive文件。此由Straiker STAR Labs资深安全研究员Amanda Rousseau上周公布,Perplexity Comet浏览器为受害者,黑客发送看似无害信件下指令删除文件。
这种攻击利用AI浏览器解读指令漏洞。当用户要求Comet“检查我的信件并完成所有最近任务”,浏览器会扫描收件箱并执行找到的内容。攻击者可发送措辞礼貌的指示信,命令浏览器重整Drive、删除多余文件、审查变更,这些指令视为合法日常任务,无需再确认就会执行。
Rousseau于博客说:“结果是,浏览器代理驱动的清除器,能用户自然语言请求后,将关键内容大规模移至垃圾信件匣。”一旦代理取得Gmail和Google Drive的OAuth访问权限,滥用指令可迅速于共享文件匣和团队驱动器扩散。
这种攻击的有效性在于语气。攻击者信件使用“照顾”、“处理这个”和“代我做这个”等语气,将所有权转移给代理,并促使AI代理照做。Rousseau发现,礼貌指示减少AI模型抵抗度,因会将命令视为例行工作,而不是潜在威胁。
此外,Cato Networks 11月底披露另一种威胁,名为HashJack,合法URL片段部分隐藏恶意提示,特别是“#”符号后的文本。AI浏览器处理这些URL并用户提问时,隐藏指令会直接进入AI助理回应。
Cato Networks安全研究员Vitaly Simonovich指出,HashJack可操控Perplexity Comet、微软Edge Copilot和Google Chrome Gemini。这些攻击范围从插入假回调号码到背景窃取用户数据不等。
微软和Perplexity已回应HashJack披露,微软10月27日修补Edge Copilot,Perplexity 11月18日修补Comet。Cato Networks的披露时间表,Google归类为“不会修复”,并评级为低严重性,因Google不将绕过防护措施或违反政策的内容产生视为AI漏洞奖励计划的安全漏洞。
这些研究结果强调更高风险。AI浏览器代理依赖信任:信任所有信件无害,信任URL安全,信任自然语言指令与用户意图一致。当攻击者精心设计利用这些系统解释上下文机制,信任反成为脆弱点。
Rousseau总结:“不要只保护模型,还要保护代理、连接器及AI默默遵循的自然语言指令。”企业信件、云计算存储和浏览器部署越多AI助理,此漏洞尤其严重。没有防护措施的自动化会将有用AI助理变成无声的破坏者。
(首图来源:shutterstock)
