Brave 報告稱 Perplexity Comet 漏洞導致用戶數據暴露給攻擊者

Brave Software 發現了 perplexity AI 的 Comet 瀏覽器的一個安全漏洞，該漏洞揭示了攻擊者如何欺騙其人工智能助手洩露私人用戶數據。

在概念驗證中演示8月20日發表的一篇Reddit評論中，Brave的研究人員發現了隱藏的指令。 當COMet的AI助手被要求總結頁面內容時，它不僅完成了總結，還執行了隱藏的指令。

困惑者對這一發現的嚴重性提出了質疑。 一位發言人告訴解密該問題“在任何人發現之前就已修復”，並表示沒有用戶數據洩露。 “我們有一個非常強大的賞金計劃，”該發言人補充道。 “我們直接與Brave合作，識別並修復了這個問題。”

Brave 正在開發自己的代理瀏覽器，它堅稱該漏洞在補丁發布數週後仍然可以被利用，並認為 Comet 的設計使其容易受到進一步的攻擊。

Brave 表示，該漏洞源於 Comet 等代理瀏覽器處理網頁內容的方式。 報告解釋道：“當用戶要求 Comet 總結某個頁面時，它會直接將該頁面的一部分內容輸入到其語言模型中，而不會區分用戶的指令和不受信任的內容。這使得攻擊者能夠嵌入隱藏命令，而 AI 會將這些命令當做來自用戶的指令來執行。”

這種漏洞被稱為即時注入攻擊。 它不是欺騙人類，而是通過純文本隱藏指令來欺騙人工智能係統。

“它類似於傳統的注入攻擊——SQL 注入、LDAP 注入、命令注入，”首席黑客 MattheW Mullins揭示安全性，告訴解密“這個概念並不新鮮，但方法不同。你利用的是自然語言，而不是結構化代碼。”

安全研究人員幾個月來一直警告稱，隨著人工智能係統獲得更大的自主權，快速注入可能會成為一個令人頭疼的問題。 今年5月，普林斯頓大學的研究人員顯示如何通過“內存注入”攻擊來操縱加密人工智能代理，即將惡意信息存儲在人工智能的內存中，然後像真實信息一樣進行操作。

即使是發明該術語的開發商西蒙·威利森 (Simon Willison) 也即時注入表示，問題遠不止 Comet。 “Brave 安全團隊報告了 Comet 中存在嚴重的提示注入漏洞，但 Brave 自己正在開發類似的功能，看起來也注定會出現類似的問題，”他說道。 發佈在 X 上。

Brave 隱私和安全副總裁 Shivan Sahib 表示，其即將推出的瀏覽器將包含“一系列有助於降低間接提示注入風險的緩解措施”。

他告訴記者：“我們計劃將代理瀏覽隔離到其自己的存儲區域和瀏覽會話中，這樣用戶就不會意外地將自己的銀行和其他敏感數據的訪問權限授予代理。”解密“我們很快會分享更多細節。”

Comet 的演示凸顯了一個更廣泛的問題：AI 代理的部署權限很高，但安全控制卻很薄弱。 由於大型語言模型可能會誤解指令（或過於字面地執行指令），因此它們特別容易受到隱藏提示的影響。

“這些模特可能會產生幻覺，”馬林斯警告說。 “他們可能會完全失控，比如問‘你最喜歡什麼口味的Twizzler？’，或者得到自製槍支的指導。”

由於AI代理可以直接訪問電子郵件、文件和實時用戶會話，風險極高。 “每個人都想把AI融入到一切事物中，”Mullins說。 “但沒有人測試模型擁有哪些權限，或者當它洩露信息時會發生什麼。”