久久婷婷五月综合97色直播,日本日本熟妇中文在线视频,精品国精品自拍自在线,7777精品伊人久久久大香线蕉,男人用嘴添女人下身免费视频

智東西（公眾號：zhidxcom）
作者 | 陳駿達
編輯 | 心緣

這款知名AI瀏(liu)覽器，竟成了藏在用戶設備中的(de)“隱(yin)私大盜”？

智東西8月26日報道，近日，美國瀏覽器公司Brave發布博客，稱該公司在美國知名AI搜索獨角獸Perplexity打造的AI瀏覽器Comet中發現了一個嚴重安全漏洞，攻擊者可通過在網頁中發布惡意指令，來操縱AI瀏覽器登錄(lu)網站、訪問郵箱、獲取驗證碼，并將這些敏(min)感信息(xi)發送給外部攻擊者。全(quan)程耗(hao)時兩分半，連普通人也能完(wan)成這種攻(gong)擊(ji)。

▲博客部分內容截圖(tu)（圖(tu)源：Brave）

Comet本質上是一(yi)款(kuan)能代替用戶(hu)(hu)完成(cheng)瀏覽器操(cao)作的(de)Agent。實(shi)驗中(zhong)，Brave研究團隊在美(mei)國貼(tie)吧平臺Reddit上發布了(le)一(yi)則貼(tie)文，內含(han)惡意指令(ling)，并(bing)讓Comet總結這一(yi)帖子。當閱(yue)讀到惡意指令(ling)時，Comet會全(quan)盤照(zhao)搬地執行，給(gei)用戶(hu)(hu)的(de)信息安全(quan)帶(dai)來巨大風(feng)險。

這一案例一經發布，便在社交媒體和各大論壇引發熱議。有網友認為，上述操作意味著惡意攻擊者幾乎有可能通過“廣撒網”的方式發布提示詞攻擊，在用戶要求AI總結信息時，直接侵入用戶的銀行賬戶，造成極大風險。

還有一名在谷歌工作的大模型安全工程師下場吐槽，稱此類攻擊“并不(bu)高(gao)級”，而是大(da)模型(xing)安(an)全(quan)第一(yi)課中(zhong)就應該防(fang)范的攻擊(ji)類型(xing)，看上去Perplexity完全(quan)沒有(you)考慮到這一(yi)安(an)全(quan)問(wen)題，更別提派人(ren)解決了。

▲谷歌大模型安全工(gong)程(cheng)師吐槽Comet安全漏洞（圖源：黑客(ke)新聞）

Perplexity對待此事的態度，也引發吐槽。有網友認為，Perplexity的首席執行官在問題出現的一個月內，整天都在推特上談論他們應用程序中的更新，沒有表(biao)現(xian)出任何認真對待此事的跡象。今天(tian)，Perplexity還(huan)推出(chu)了Comet Plus新聞訂(ding)閱服務。

目前，Perplexity和Comet在社交媒體上對這一事件進行了冷處理，并未發帖回應。Brave稱，他們已經向Perplexity方面報告了這一問題，Perplexity耗時近1個月(yue)還未(wei)完(wan)全修復這一問題。

▲Brave對(dui)Perplexity披露問題(ti)的(de)時(shi)間表(biao)（圖源(yuan)：Brave）

那么，這種(zhong)類型的(de)(de)攻(gong)擊究竟是如何(he)實現的(de)(de)，而(er)AI瀏覽器、AI Agent產品(pin)，又應該(gai)通過何(he)種(zhong)手段來保護用(yong)戶的(de)(de)隱私呢？

一、發條帖子就能進行攻擊，盜號全程耗時兩分半

對Comet瀏覽器的攻擊工作原理極為簡單。攻擊者可以在白色背景上的白色文本、HTML注釋或其他不可見元素中隱藏指令，或者直接將惡意提示詞注入社交媒體平臺上的用戶生成內容，例如Reddit評論或Facebook帖子等。

類(lei)似方法曾經被(bei)廣泛用于操縱搜(sou)索(suo)引擎的結果，實(shi)現(xian)SEO（搜(sou)索(suo)引擎優化）。例如，有(you)些企(qi)業會在網站空白處植入(ru)大量熱搜(sou)關鍵詞，以提升網站在搜(sou)索(suo)結果中的排(pai)名。

瀏覽器能讀取網頁中對用戶不可見的惡意指令，由于它無法(fa)區(qu)分(fen)應該(gai)總結的內(nei)容和它不應該(gai)遵循(xun)的指令，便將所有內容都(dou)視為用戶(hu)請求。注入的命令指示(shi)瀏覽器惡意調用工具(ju)，例如導航到(dao)(dao)用戶(hu)的銀(yin)行網站(zhan)、提(ti)取保存(cun)的密碼(ma)或將敏感信息泄露到(dao)(dao)攻擊者(zhe)控制的服務器。

為了說明Comet中此漏(lou)洞的(de)嚴(yan)重(zhong)性，Brave創建(jian)了一個概念驗證演(yan)示。演(yan)示中，用戶(hu)訪問的(de)帖(tie)子中的(de)一條評論(lun)被(bei)“劇透(tou)標(biao)簽(qian)”掩蓋，導致用戶(hu)無法(fa)看(kan)見(jian)其內容。當(dang)用戶(hu)單擊(ji)Comet的(de)“總結當(dang)前網(wang)頁(ye)”按鈕(niu)時(shi)，Comet助手會看(kan)到并處(chu)理這些隱藏的(de)指令。

▲Brave實驗中發布(bu)的惡意(yi)帖子（圖源：Brave）

這些惡意指令指揮Comet獲取用戶的郵箱地址，并使用電子郵件地址登錄，選擇驗證碼登錄選項，讓Perplexity官方發送一次性驗證碼。惡意指令還教會瀏覽器繞開現有的身份驗證，并(bing)根據指令導(dao)航到用戶已(yi)登錄的Gmail郵(you)箱(xiang)，獲取驗證碼。

▲Comet進行的部分操(cao)作，畫(hua)面經過(guo)五倍速處理（圖源(yuan)：Brave）

由于Comet瀏覽器將部分操作隱藏在后臺，用戶并不會在設備上直觀地看到瀏覽器正在進行的頁面操作，僅有文字總結。用戶需(xu)要(yao)主動(dong)點擊按鈕，才(cai)能查看(kan)瀏(liu)覽器(qi)在后臺打開的各種網頁。

Comet將驗證碼和郵箱自動發送至Reddit評論區，完成攻擊，全程耗時(shi)兩(liang)分半(ban)。緊接著，攻(gong)擊(ji)者可通過郵箱+驗證碼的組(zu)合(he)登錄用戶的Perplexity賬號。

▲Comet將(jiang)用戶郵箱(xiang)和驗證(zheng)碼發送至Reddit評論(lun)區（圖源：Brave）

二、傳統防護措施徹底失效，Agent產品已形成“致命三重奏”

Brave稱，這種攻擊對享有的網絡安全機制提出了重大挑戰。當AI瀏覽器等Agent產品執行來自不可信網頁內容的惡意指令時，傳統防護措施（如同源策略和跨(kua)域資源共享）將完全失(shi)效。

案例中的瀏覽器擁有用戶的所有權限，并且在已登錄狀態下操作，攻擊者可能借此獲取銀(yin)行賬戶、企業系統(tong)、私(si)人郵件、云存儲等敏(min)感服務的訪問權。

與通常針對單個網站或需要復雜利用流程的傳統網絡漏洞不同，這種攻擊僅需通過植入網頁的自然語言指令即可實現對其他網站的訪問，其(qi)影響(xiang)范圍可覆蓋整(zheng)個(ge)瀏覽器會(hui)話。

這一漏洞與AI瀏覽器本身的構建理念密不可分。Perplexity創始人兼首席執行官Aravind Srinivas曾在今年的一場采訪中透露，Comet中的智能體是“用戶授(shou)權代表自(zi)己行動的”，能模擬人類使用網站(zhan)的(de)(de)方(fang)式。這是為了繞開對第三(san)方(fang)MCP的(de)(de)依賴，能讓(rang)瀏(liu)覽器更獨立自(zi)主(zhu)地與互聯網交互。

然而，Brave的(de)(de)(de)研(yan)究表明(ming)，這種(zhong)設(she)計在提升(sheng)AI瀏覽器操作能力的(de)(de)(de)同時，也帶來(lai)了巨大的(de)(de)(de)風(feng)險。

黑(hei)客新(xin)聞上，有(you)諸多(duo)IT行業從業者分享了對這一風險的看法(fa)。

有網友分析道，谷歌、OpenAI、Anthropic等企業都沒有發布與Comet類似的功能，而是使用沒有cookie的(de)虛擬機來(lai)瀏覽網頁。這說(shuo)明這些企業已(yi)經意識到了這種行(xing)為的(de)風險。

還有網友談到了這一風險的影響范圍，與過去需要逐一攻擊不同，大模型的安全問題在于，只要有一套提示詞能破解模型，并獲取用戶隱私，就基本能在所有使用這一模型的用戶身上重現，實現大(da)范圍攻擊。

此前，已經有不少從業人員關注到了Agent類產品的風險問題。Datasette開(kai)源項(xiang)目創(chuang)始(shi)人、“提示詞注入(ru)”這一(yi)概(gai)念的提出者(zhe)Simon Willison稱，Agent產品擁有的三大特征，已經形成了“致命三(san)重奏”。

這三大特征包括：

（1）私人數(shu)據訪問權限，這也(ye)是AI工(gong)具最常(chang)見的(de)(de)目(mu)的(de)(de)之一(yi)；

（2）接觸(chu)不受(shou)信任的內容，如惡意(yi)攻(gong)擊者控制的文(wen)本(ben)（或圖像）等；

（3）外部(bu)通信的能力，可用于竊(qie)取數(shu)據。

▲Agent中的“致命三(san)重奏(zou)”（圖源：Simon Willison個人博客）

如果(guo)Agent結合了這三個特(te)征，攻擊(ji)者可以輕松(song)誘騙它訪問私人數據(ju)并(bing)將(jiang)其發送給該攻擊(ji)者。

Simon Willison進一步分析，如今大模型的可用性主要就來自其指令遵循能力，但問題是它們不只是聽從用戶指令，而是會遵循任何說(shuo)明。

這(zhe)已經成為了(le)AI系統(tong)的常見漏洞。Simon Willison在自己的博客中收集(ji)了(le)數(shu)十(shi)個類似(si)案例，影響的對象包括OpenAI的ChatGPT、谷歌(ge)Gemini、Amazon Q、谷歌(ge)NotebookLM、xAI的Grok、Anthropic的Claude iOS應用程序等。

幾乎所有這些(xie)問(wen)題都被企(qi)業(ye)迅速修復，通常(chang)是(shi)通過鎖定泄露向量，阻止惡意指令竊取(qu)數據。

然而，能使(shi)用工(gong)具的Agent帶來了更難(nan)以控制的風險。工(gong)具泄露私(si)人(ren)數據的方式幾乎(hu)是無(wu)限的，例(li)如向API發出HTTP請求，或加載圖像，甚至提供鏈接供用戶單擊等(deng)。

在他看來，保持(chi)安全的(de)唯(wei)一方法(fa)，就是完全避免這三種能力的(de)組(zu)合。

三、如何規避風險？Brave提出四則方法

然(ran)而，上述三(san)項能力已經成為了Agent產品的核心功能。對(dui)于那些(xie)已經推(tui)出(chu)或(huo)者(zhe)即將推(tui)出(chu)類似產品的企業，有(you)(you)沒(mei)有(you)(you)什么(me)方法能規避這些(xie)風險呢？

同樣(yang)在研發AI瀏(liu)覽器的(de)Brave從這一案例中，總結了四則(ze)方法：

（1）AI瀏覽器應(ying)該(gai)具備區分(fen)用(yong)戶指令(ling)和(he)網(wang)(wang)站內容(rong)的能(neng)力，在將用(yong)戶的指令(ling)作為上下文發送給模型時，應(ying)將用(yong)戶的指令(ling)與網(wang)(wang)站的內容(rong)清楚地區分(fen)開來，頁面的內容(rong)應(ying)始終被視(shi)為不(bu)可信。

（2）模型(xing)應該根據任務和(he)上下文(wen)，判斷(duan)瀏(liu)覽(lan)器要執行的操(cao)作是否與用戶的請求保(bao)持一致。

（3）無論(lun)先前的(de)(de)Agent任務計劃(hua)如何，涉及安全和敏感(gan)信(xin)息(xi)的(de)(de)操作應該(gai)需要用戶(hu)的(de)(de)確認(ren)。

（4）瀏(liu)(liu)(liu)覽器應(ying)將智能體的瀏(liu)(liu)(liu)覽與(yu)常(chang)規瀏(liu)(liu)(liu)覽隔(ge)離開(kai)來。如(ru)果用戶只需要總結網(wang)頁，那瀏(liu)(liu)(liu)覽器就不應(ying)該擁有打開(kai)郵(you)(you)箱、發送(song)郵(you)(you)件、讀取其他敏(min)感(gan)數據的權限。這種分離對(dui)Agent安(an)全性尤為重要。

結語：進入真實世界前，Agent需先闖過“安全關”

目(mu)前(qian)，國內外已有多家廠商發布(bu)了能夠操作(zuo)瀏覽器(qi)、手機、電腦等設備的(de)Agent產(chan)品(pin)。這類產(chan)品(pin)能在一定(ding)程度(du)上(shang)簡化部分(fen)繁瑣(suo)的(de)任(ren)務(wu)，幫用戶提升效率。

然(ran)而，在最(zui)終廣泛的進(jin)入(ru)真實世界(jie)前，所有AI產品都理應經(jing)過嚴格的安全評估(gu)、“紅隊測試”等(deng)環(huan)節，盡可(ke)能規避可(ke)預(yu)見的風(feng)險(xian)。

正如谷歌的(de)那位安全(quan)工程師(shi)所言，Perplexity本次出現的(de)安全(quan)漏洞極為(wei)(wei)基礎，本應在(zai)發布前(qian)就得到關注。這一案(an)例(li)，也給其他(ta)Agent產(chan)品(pin)提供了警示：在(zai)追求功能創(chuang)新(xin)與用戶體驗的(de)同時，絕(jue)不能以犧牲安全(quan)為(wei)(wei)代價(jia)。