浏览器 Brave 团队近日披露了一类新型安全威胁——基于 AI 浏览器的间接提示注入（Indirect Prompt Injection），并演示了该攻击在 Perplexity Comet 浏览器上的真实案例。

研究人员发现，攻击者可以在网页内容（例如 Reddit 评论、PDF 或隐藏文字）中植入恶意指令。当用户通过 Comet 等 AI 浏览器插件执行“总结网页”等操作时，插件会错误地将这些指令当作用户输入来执行。结果，攻击者可诱导插件读取用户邮箱、窃取一次性验证码（OTP），甚至远程控制账户。

这类攻击绕过了传统 Web 安全机制（如同源策略和 CORS），危害极大，因为 AI 浏览器往往拥有与用户相同的登录权限，意味着银行、邮箱、云存储等敏感服务都可能受到威胁。

Brave 指出，修复此类问题不能仅依赖模型对齐，而需要从架构层面增强防护。包括：

• 区分用户指令与网页内容，避免网页指令被误执行；

• 增加安全检查与用户确认，对 AI 生成的浏览动作进行限制；

• 最小权限原则，避免 AI 在后台不必要地访问敏感数据。

业内人士认为，这一案例揭示了“Agentic 浏览器”设计中的根本缺陷，未来 AI 浏览器的发展必须在智能与安全之间寻求新的平衡。