研究人員揭露AI瀏覽器Perplexity Comet零點擊漏洞PerplexedBrowser,恐導致電腦本機檔案被外流
漏洞概述
資安研究人員揭露,Perplexity AI瀏覽器Comet存在嚴重「零點擊」漏洞,攻擊者可透過看似無害的商業電子郵件或行事曆邀請,誘使瀏覽器執行惡意指令,導致用戶資料被竊取或刪除。
攻擊方式
- 攻擊者可將惡意提示包裝成禮貌性商業書信,例如「請協助處理此事項」,誘使AI瀏覽器執行指令。
- 透過OCR技術提取網頁中「看不見的隱性文字」,並利用AI工具執行惡意操作。
- 僅需一則行事曆邀請,即可遠端竊取1Password錢包與電腦本機檔案。
影響範圍
此漏洞不僅影響Google Drive資料,還可能導致用戶帳號、驗證碼、甚至本機檔案被竊取,危及個人隱私與資料安全。
後續發展
Perplexity已針對Comet AI瀏覽器的漏洞進行修復,相關研究團隊亦呼籲主流瀏覽器(如Chrome、Edge、Safari)需加強對AI提示注入的防護機制。