最新安全警告,研究員揭露「零點擊清除器」AI 瀏覽器漏洞,以簡單請求大規模刪除 Google Drive 檔案。此由 Straiker STAR Labs 資深安全研究員 Amanda Rousseau 上週公布,Perplexity Comet 瀏覽器為受害者,駭客發送看似無害信件下指令刪除檔案。
這種攻擊利用AI瀏覽器解讀指令漏洞。當用戶要求Comet「檢查我的信件並完成所有最近任務」,瀏覽器會掃描收件箱並執行找到的內容。攻擊者可發送措辭禮貌的指示信,命令瀏覽器重整Drive、刪除多餘文件、審查變更,這些指令視為合法日常任務,無需再確認就會執行。
Rousseau於部落格說:「結果是,瀏覽器代理驅動的清除器,能用戶自然語言請求後,將關鍵內容大規模移至垃圾信件匣。」一旦代理取得Gmail和Google Drive的OAuth存取權限,濫用指令可迅速於共享文件匣和團隊驅動器擴散。
這種攻擊的有效性在於語氣。攻擊者信件使用「照顧」、「處理這個」和「代我做這個」等語氣,將所有權轉移給代理,並促使AI代理照做。Rousseau發現,禮貌指示減少AI模型抵抗度,因會將命令視為例行工作,而不是潛在威脅。
此外,Cato Networks 11月底披露另一種威脅,名為HashJack,合法URL片段部分隱藏惡意提示,特別是「#」符號後的文本。AI瀏覽器處理這些URL並用戶提問時,隱藏指令會直接進入AI助理回應。
Cato Networks安全研究員Vitaly Simonovich指出,HashJack可操控Perplexity Comet、微軟Edge Copilot和Google Chrome Gemini。這些攻擊範圍從插入假回撥號碼到背景竊取用戶資料不等。
微軟和Perplexity已回應HashJack披露,微軟10月27日修補Edge Copilot,Perplexity 11月18日修補Comet。Cato Networks的披露時間表,Google歸類為「不會修復」,並評級為低嚴重性,因Google不將繞過防護措施或違反政策的內容產生視為AI漏洞獎勵計畫的安全漏洞。
這些研究結果強調更高風險。AI瀏覽器代理依賴信任:信任所有信件無害,信任URL安全,信任自然語言指令與用戶意圖一致。當攻擊者精心設計利用這些系統解釋上下文機制,信任反成為脆弱點。
Rousseau總結:「不要只保護模型,還要保護代理、連接器及AI默默遵循的自然語言指令。」企業信件、雲端存儲和瀏覽器部署越多AI助理,此漏洞尤其嚴重。沒有防護措施的自動化會將有用AI助理變成無聲的破壞者。
- Alert—‘Zero‑Click Wiper’ AI Browser Exploit Mass‑Deletes Google Drive Files
- Lessons From the McHire Security Incident
- From Inbox to Wipeout: Perplexity Comet’s AI Browser Quietly Erasing Google Drive
- Zero-Click Agentic Browser Attack Can Delete Entire Google Drive Using Crafted Emails
- Browser Automation — Latest News, Reports & Analysis
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
