安全測試|Perplexity首款AI瀏覽器Comet 可被誘導到假網站購物
AI 人工智能技術的興起,在近年被催生出各種不同的有趣應用,而一種懂得自動瀏覽、購物及管理多項網上任務的代理型 AI(Agentic)瀏覽器,大有可能成為下一個 AI 熱潮。不過,有網絡安全公司卻發現這種 AI 應用暫時缺乏安全性,研究員成功嘗試誘導 Perplexity 的代理型 AI 瀏覽器 Comet 購買假貨、在假網站輸入銀行憑證,甚至下載惡意文件,如用家抱著早玩早享受的心態搶先使用,隨時跌入黑客的陷阱。
有機會被 SEO 中毒或惡意廣告誤導
Perplexity Comet 作為目前代理型 AI 瀏覽器的代表,可自動執行如處理電郵、預訂門票、填寫表單等任務,甚至可代為網上購物。為了測試這種 AI 應用的潛在風險,Guardio Labs 的安全研究員便設下多種實驗,去測試 Comet 會否受騙。
在其中一次測試中,研究員利用近期大熱的 AI 網站建構工具 Lovable 複製了一個假冒的 Walmart 網站,然後研究員便指示 Comet 瀏覽器去購買 Apple Watch。Comet 隨即掃描網站內的產品、完成結帳流程,並自動填寫信用卡與地址等敏感資料,完全未能發現受騙。
雖然這次測試只在模擬場景下進行,但在現實應用中,AI 瀏覽器的確有可能誤入黑客通過 SEO 中毒(SEO Poisoning)或惡意廣告提升搜尋排名的假冒網站,對用戶造成實際損失。
主動點擊電郵內連結
除了購物漏洞,研究員又模擬了一封假冒的 Wells Fargo 銀行電郵,該郵件由合法的 ProtonMail 電郵地址發送,內含連結至一個精心設計的釣魚網站。由於 Comet 將電郵視為合法,於是主動點擊內裡的連結,被引導至一個虛假的銀行登入頁面,並提示用戶輸入帳戶憑證資料,雖然沒有直接自動填寫,但如用戶稍一不慎,亦有可能上當。
最後一項測試是針對提示注入攻擊,研究員設計了一個嵌入了惡意指令的假 CAPTCHA 頁面,Comet 不單未能辨識潛在威脅,更自動執行隱藏於頁面源代碼內的惡意指令,點擊 CAPTCHA 按鈕後下載惡意文件。
Guardio Labs 研究員指出,這些測試僅僅揭露了代理型 AI 瀏覽器部分安全問題,而實測上黑客可以通過訓練 AI 模型去發掘出更多安全漏洞,黑客在未來只需破解一個 AI 模型,便可成功欺騙數以百萬計的用戶。
避免授權 AI 自動輸入敏感資料
面對 AI 瀏覽器的安全隱患,專家建議用戶就算搶先使用,都應避免授權 AI 自動輸入各種敏感資料,一律只限手動輸入,在安全機制尚未成熟的情況下,這些工具或許更適合用於低風險任務,而非處理涉及財務與隱私的敏感操作。
而企業及開發者亦需加強安全防護措施,首先應加強 AI 的網站驗證機制,確保可有效辨識假冒網站;其次是要進一步強化對釣魚攻擊和提示注入的防禦能力,從源頭減少 AI 工具被惡意利用的可能性。同時,開發者應為 AI 模型搭建更嚴謹的行為框架,限制自動執行高風險操作,降低安全隱患。
