AI浏览器爆危机 一条Reddit留言就能偷走帐号

AI 浏览器正以惊人速度崛起，从 OpenAI 的 ChatGPT Atlas 到 Perplexity 的 Comet，都主打能“自动帮你上网、搜寻、总结甚至代办任务”。然而，这项便利功能背后，其实潜藏比想像中更严重的资安风险：包括个资外泄、帐号被盗，甚至只需一条留言，就能让 AI 把使用者的信箱资讯交出去。

新一代的 AI 浏览器将大型语言模型（LLM）直接整合进操作介面中。例如 Perplexity 的 Comet、OpenAI 的 ChatGPT Atlas 与 Opera Neon 等产品，都能理解使用者的自然语言指令并代为操作。

使用者只要输入：“帮我找台北可订位的寿司餐厅并寄确认信”，AI 就能自动搜寻、开启网页、填写表单，甚至寄出电子邮件。这类被称为“代理式 AI 浏览器（Agentic Browser）”的新工具，表面上提高效率，但同时也让 AI 能“看到你看到的一切”，并在你已登入帐号的情况下直接执行指令。这种设计，正是资安专家最忧心的根源。

Brave 浏览器团队在研究中揭露，这些 AI 浏览器早已出现实际漏洞。研究人员透过一则 Reddit 留言，就成功诱使 Perplexity 的 Comet 在摘要页面时误执行指令，回传使用者注册电邮，甚至尝试登入帐号、回复一次性密码（OTP）给攻击者。

另一项名为 “CometJacking” 的攻击则更严重。资安公司 LayerX 指出，黑客只需一条特制连结，就能让浏览器误将使用者过去的聊天纪录、信件或行事历资料传送到外部伺服器。这些操作完全不需安装恶意程式——AI 浏览器本身就成了“被操控的工具”。

该团队更指出，AI 模型容易受到“提示注入（Prompt Injection）”攻击影响。攻击者可在网页文字、留言甚至 HTML 程式码中藏入恶意指令，当 AI 读取这段内容时，会误以为那是使用者要求而执行。若使用者在浏览器内登入银行或邮件帐号，仅执行如“摘要贴文”等简单操作，就可能让黑客窃取金钱或个资。Brave 研究人员强调，目前没有任何 AI 浏览器能完全防堵这类攻击，因为模型的反应具有随机性，“风险无法归零”。

资安专家警告：AI 浏览器恐成新漏洞。（图／取自免费图库Pexels）

Opera 官方也坦言，Neon 虽设有“任务隔离（Task Sandbox）”防护，但由于 AI 模型的非确定性特质，“成功防御率不可能达到百分之百”。OpenAI 的 ChatGPT Atlas 同样被曝出 Prompt 攻击问题：只需在网址中插入空格或特定符号，就可能被误解为指令并执行。

资安专家表示，这些浏览器的共同问题在于“行为层级的漏洞”。传统浏览器会严格隔离不同网站的资料来源，但 AI 浏览器的设计却让同一个 AI 可跨站操作，导致原本的安全逻辑被破坏。

除了浏览端漏洞外，AI 浏览器多半依赖云端模型运作。这代表使用者的搜寻内容、登入资讯与文件可能被传送至外部伺服器进行分析。若开发商未妥善加密或允许训练使用，内部机密或个人资料都有可能被间接使用。

多起案例显示，企业员工曾在使用 ChatGPT 期间，不慎将内部资料外流，显示云端 AI 工具的资料治理问题仍待解决。

Brave 浏览器团队建议，使用者若仍想体验 AI 浏览器，应开启“安全模式”或禁用登入帐号的自动操作功能。此外，Opera Neon 目前已禁止 AI 在部分网站上运行，以避免跨站资料外泄。

AI 浏览器确实代表未来网页互动的新方向，让人能以自然语言控制网络世界。但正如 Brave 团队所言：“AI 代操虽方便，却改写了浏览器数十年来的安全架构。”在防护技术尚未完善前，使用者每次操作都像在掷骰子，你必须次次幸运，而黑客只要成功一次。