AI瀏覽器爆資安漏洞！Perplexity Comet擋不住「隱形字」提示攻擊，ChatGPT Atlas也中招？

重點一：Brave 揭露 Perplexity 的 Comet 存在「截圖隱性文字」的間接提示注入漏洞（Indirect Prompt Injection）。攻擊者可藉由 OCR 抽取「看不見的文字」，並指使瀏覽器工具執行惡意操作。

重點二：Fellou 雖對隱性指令有部分抵抗力，但在「僅導覽至網站」的情境下，仍將頁面文字作為可信輸入送入 LLM，導致行為可能被網站文本接管。

重點三：Brave 主張，當前的代理式瀏覽普遍失守「信任邊界」，同源政策失效風險升高；並倡議將代理式瀏覽與一般瀏覽隔離，且需由用戶明確觸發。

主打用戶隱私的瀏覽器開發商 Brave 在最新研究中指出，AI 驅動的代理式瀏覽正面臨系統性安全挑戰。其中，Perplexity 的 Comet 被發現存在「截圖隱性文字」的間接提示注入（Indirect Prompt Injection）漏洞。

Brave 指出， 攻擊者可在網頁或圖片中以人眼不易辨識的文字（例如淡藍字搭配黃色背景）植入惡意指令。當使用者以 Comet 功能截圖並提問時，文字辨識（可能透過 OCR，光學文字辨識）會將這些不可見文字抽取，並與使用者問題一併送入大型語言模型（LLM）。

而模型可能將惡意內容視為「可信命令」，進而調用瀏覽器工具執行跨域操作，例如觸及已登入的金融或個資服務。

Brave 強調，這類攻擊無需使用者同意額外摘要或授權，就能在「看似安全」的互動中被觸發，風險相當高。

Fellou導覽即被注入：可見文本被視為可信輸入

Brave 也測試另一款 AI 瀏覽器 Fellou，發現其對「隱性指令」有一定抵抗力，但架構上仍將「可見的網頁內容」視為可信輸入。只要使用者要求導覽至某網站，瀏覽器就會把該網站文字與使用者查詢一併送入 LLM。此設計導致網頁文本能覆蓋或改寫原本的使用者意圖，等於提供攻擊者在公開頁面上直接「下命令」的管道。

Brave 披露兩案的通報時間線如下：

1. Fellou 的問題於 2025 年 8 月 20 日回報，並於 2025 年 10 月 21 日公開細節。
2. Comet 的截圖注入漏洞於 2025 年 10 月 1 日發現並回報，並於 10 月 21 日公開。

Brave 表示，相關廠商均已被負責通報，並期盼盡速修補。

ChatGPT Atlas 遭指安全防護不足

另一個 Brave 尚未深入檢驗的 AI 瀏覽器，是 OpenAI 昨日首發的 ChatGPT Atlas。

針對 AI 瀏覽器的資安漏洞問題，OpenAI 資安長 Dane Stuckey 於 X 坦承，Atlas 仍未完全解決惡意提示注入（Prompt Injection）的前沿安全問題，直言「攻擊者可能在網站、電子郵件或其他來源植入惡意指令，誘使代理偏離任務、甚至擷取並外洩私人資料」。

Stuckey 強調，現行策略是以「重疊護欄」（overlapping guardrails）、紅隊測試與偵測阻擋機制，並結合新式模型訓練以獎勵模型忽略惡意指令。但他也坦承，「對手將投入大量資源讓代理中招」，因此短期內無法宣稱問題已被根治。

Stuckey 表示：「正如 21 世紀初的電腦病毒一樣，我們認為每個人都應該了解負責任的使用方式，包括思考如何防範即時注入攻擊，這樣我們才能學會安全地利用這項技術。」

知名網頁開發者 Simon Willison 則直言，當前的 AI 瀏覽器在應用安全上「99% 不及格」——只要存在路徑，動機強的對手終會找到。

Willison 指出兩個結構性風險：其一，AI 不像人類同事，出了事沒有社會責任可追究，因此把「登入瀏覽器的操作權」交給代理必須格外謹慎；其二，把「何時用登入模式、哪些網站值得信任」的判斷丟給一般使用者，是不公平且容易出錯的設計。

他甚至在 GitHub 和網銀的實測中表示，根本未見所宣稱的「監看模式」啟動，對其實際防護效果抱持保留。

信任邊界崩解：Brave 倡議隔離代理式瀏覽並明確觸發

Brave 指出，當 AI 助理能代替用戶行動、且將「網頁內容」與「使用者指令」一併拼入提示時，傳統網路安全假設會失效。同源政策（Same-Origin Policy）無法約束 AI 助理的跨域行為，因為助理是以「用戶已認證身分」執行。於是網站上的自然語句甚至社群留言，都可能化為跨站指令，進入銀行、醫療、企業內網、電郵與雲端儲存等敏感領域。

Brave 認為，在缺乏對「可信輸入」與「不可信內容」嚴格分隔的前提下，整體代理式瀏覽皆屬高風險。短期建議是將代理式瀏覽與一般瀏覽隔離，且只有在使用者「明確」啟動時，才允許其開站、讀信等動作；中長期則由研究與資安團隊探索更具體且類別化的安全改進。

延伸閱讀：實測｜OpenAI推出AI瀏覽器Atlas，比Comet、Dia更好用嗎？怎麼用？缺點是什麼？
AI瀏覽器Comet開放免費下載！Comet教學：6大好用功能+小技巧，快學起來

資料來源：Brave、Simon Willison、OpenAI CISO

本文初稿為AI編撰，整理．編輯/ 李先泰