重點一:Brave 揭露 Perplexity 的 Comet 存在「截圖隱性文字」的間接提示注入漏洞(Indirect Prompt Injection)。攻擊者可藉由 OCR 抽取「看不見的文字」,並指使瀏覽器工具執行惡意操作。
重點二:Fellou 雖對隱性指令有部分抵抗力,但在「僅導覽至網站」的情境下,仍將頁面文字作為可信輸入送入 LLM,導致行為可能被網站文本接管。
重點三:Brave 主張,當前的代理式瀏覽普遍失守「信任邊界」,同源政策失效風險升高;並倡議將代理式瀏覽與一般瀏覽隔離,且需由用戶明確觸發。
主打用戶隱私的瀏覽器開發商 Brave 在最新研究中指出,AI 驅動的代理式瀏覽正面臨系統性安全挑戰。其中,Perplexity 的 Comet 被發現存在「截圖隱性文字」的間接提示注入(Indirect Prompt Injection)漏洞。
Brave 指出, 攻擊者可在網頁或圖片中以人眼不易辨識的文字(例如淡藍字搭配黃色背景)植入惡意指令。當使用者以 Comet 功能截圖並提問時,文字辨識(可能透過 OCR,光學文字辨識)會將這些不可見文字抽取,並與使用者問題一併送入大型語言模型(LLM)。
而模型可能將惡意內容視為「可信命令」,進而調用瀏覽器工具執行跨域操作,例如觸及已登入的金融或個資服務。
Brave 強調,這類攻擊無需使用者同意額外摘要或授權,就能在「看似安全」的互動中被觸發,風險相當高。
Fellou導覽即被注入:可見文本被視為可信輸入
Brave 也測試另一款 AI 瀏覽器 Fellou,發現其對「隱性指令」有一定抵抗力,但架構上仍將「可見的網頁內容」視為可信輸入。只要使用者要求導覽至某網站,瀏覽器就會把該網站文字與使用者查詢一併送入 LLM。此設計導致網頁文本能覆蓋或改寫原本的使用者意圖,等於提供攻擊者在公開頁面上直接「下命令」的管道。
Brave 披露兩案的通報時間線如下:
- Fellou 的問題於 2025 年 8 月 20 日回報,並於 2025 年 10 月 21 日公開細節。
- Comet 的截圖注入漏洞於 2025 年 10 月 1 日發現並回報,並於 10 月 21 日公開。
Brave 表示,相關廠商均已被負責通報,並期盼盡速修補。
ChatGPT Atlas 遭指安全防護不足
另一個 Brave 尚未深入檢驗的 AI 瀏覽器,是 OpenAI 昨日首發的 ChatGPT Atlas。
針對 AI 瀏覽器的資安漏洞問題,OpenAI 資安長 Dane Stuckey 於 X 坦承,Atlas 仍未完全解決惡意提示注入(Prompt Injection)的前沿安全問題,直言「攻擊者可能在網站、電子郵件或其他來源植入惡意指令,誘使代理偏離任務、甚至擷取並外洩私人資料」。
Stuckey 強調,現行策略是以「重疊護欄」(overlapping guardrails)、紅隊測試與偵測阻擋機制,並結合新式模型訓練以獎勵模型忽略惡意指令。但他也坦承,「對手將投入大量資源讓代理中招」,因此短期內無法宣稱問題已被根治。
Stuckey 表示:「正如 21 世紀初的電腦病毒一樣,我們認為每個人都應該了解負責任的使用方式,包括思考如何防範即時注入攻擊,這樣我們才能學會安全地利用這項技術。」
知名網頁開發者 Simon Willison 則直言,當前的 AI 瀏覽器在應用安全上「99% 不及格」——只要存在路徑,動機強的對手終會找到。
Willison 指出兩個結構性風險:其一,AI 不像人類同事,出了事沒有社會責任可追究,因此把「登入瀏覽器的操作權」交給代理必須格外謹慎;其二,把「何時用登入模式、哪些網站值得信任」的判斷丟給一般使用者,是不公平且容易出錯的設計。
他甚至在 GitHub 和網銀的實測中表示,根本未見所宣稱的「監看模式」啟動,對其實際防護效果抱持保留。
信任邊界崩解:Brave 倡議隔離代理式瀏覽並明確觸發
Brave 指出,當 AI 助理能代替用戶行動、且將「網頁內容」與「使用者指令」一併拼入提示時,傳統網路安全假設會失效。同源政策(Same-Origin Policy)無法約束 AI 助理的跨域行為,因為助理是以「用戶已認證身分」執行。於是網站上的自然語句甚至社群留言,都可能化為跨站指令,進入銀行、醫療、企業內網、電郵與雲端儲存等敏感領域。
Brave 認為,在缺乏對「可信輸入」與「不可信內容」嚴格分隔的前提下,整體代理式瀏覽皆屬高風險。短期建議是將代理式瀏覽與一般瀏覽隔離,且只有在使用者「明確」啟動時,才允許其開站、讀信等動作;中長期則由研究與資安團隊探索更具體且類別化的安全改進。
延伸閱讀:實測|OpenAI推出AI瀏覽器Atlas,比Comet、Dia更好用嗎?怎麼用?缺點是什麼?
AI瀏覽器Comet開放免費下載!Comet教學:6大好用功能+小技巧,快學起來
資料來源:Brave、Simon Willison、OpenAI CISO
本文初稿為AI編撰,整理.編輯/ 李先泰
