Perplexity AI瀏覽器零點擊漏洞可讓攻擊者抹除Google Drive資料
漏洞說明
資安研究人員發現,Perplexity AI瀏覽器的Comet功能存在零點擊漏洞,攻擊者可透過一封看似無害的商業電子郵件,誘使瀏覽器執行惡意指令,進而刪除Google Drive內的檔案。
攻擊機制
- 攻擊者將惡意提示包裝成禮貌性商業書信,例如「請檢查我的信件並完成所有最近任務」。
- 當用戶點擊瀏覽器的「摘要當前網頁」功能時,Comet會自動掃描收件箱並執行內容,導致惡意指令被誤執行。
- 此漏洞可讓攻擊者單純透過一封郵件,即觸發瀏覽器執行惡意操作,並刪除使用者的Google Drive資料。
其他資安風險
除了刪除Google Drive檔案外,該漏洞還可能被利用來讀取本機檔案,並挾持密碼管理工具帳號,對使用者資訊安全構成重大威脅。
專家評論
資安專家警告,AI代理程式因具備高度自動化能力,若缺乏適當的護欄機制,將可能成為資料外洩與橫向移動的放大器。