【駭客不找你,直接騙你的 AI】AI 瀏覽器陷「提示注入」資安危機,怎麼自保?
AI 瀏覽器大戰開打,蘋果、OpenAI、The Browser Company 與 Brave 等公司都在積極投入相關功能。這類瀏覽器不只會摘要網頁內容,還能作為「代理」幫使用者下指令、自動完成交易,例如處理郵件、預定門票、填寫表格或控制帳戶。然而,這種便利也帶來重大安全與隱私風險。
網路安全公司 Guardio 最新研究揭露, Perplexity 的 AI 瀏覽器 Comet 和 OpenAI 的 ChatGPT Agent 模式,都可能成為新型提示注入(prompt injection)攻擊的受害者。該研究團隊還發現,一旦使用者在登入狀態下信任 AI 代理(AI Agent)處理任務,攻擊者就能利用惡意設計的頁面或郵件,欺騙 AI 完成本來不應該進行的操作。
研究測試:Perplexity Comet 走入詐騙的三種情境
Guardio 針對 Comet 進行測試,結果 Comet 確實在假冒的沃爾瑪網站上購買了一支 Apple Watch──Comet 在未確認網站合法性的情況下掃描網站、導航至結帳頁面,並自動填寫信用卡和地址的資料,中間完全無需人工確認即可完成購買。
在第二項測試中,Guardio 偽造了一封來自 ProtonMail 地址的 Wells Fargo(富國銀行)郵件,並附上了一個真實運行中的釣魚網站連結。Comet 將這封郵件視為來自銀行的合法指令,並點擊了釣魚連結,並在偽造的 Wells Fargo 登入頁面中,提示使用者輸入其帳號密碼。
在第三項測試中,Guardio 測試了一個「提示注入」情境:設計一個假的 CAPTCHA (人機驗證)頁面,在其原始碼中隱藏了對 AI 代理的指令。結果,Comet 真的將這些隱藏的指令,誤判為合法命令,並點擊了 CAPTCHA 按鈕,結果觸發了一個惡意檔案的下載。Guardio 將這個新型提示注入手法稱為「PromptFix」。
人眼看不到的惡意操作,新型詐騙「Scamlexity」來臨
Guardio 指出,PromptFix 攻擊的關鍵在於誘使 AI 點擊不可見按鈕,以繞過驗證並觸發惡意下載,全程不需人類介入。Guardio 也告訴《The Hack News》,ChatGPT Agent 同樣存在風險,只是其下載檔案會存於虛擬環境,而非使用者電腦。
除了 CAPTCHA 注入,Brave 瀏覽器團隊也展示了另一種手法:間接提示注入(Indirect Prompt Injection)──攻擊者可以把惡意指令藏在白底白字的文字、HTML 註解,甚至是社群平台的留言中。當使用者要求 Comet 摘要頁面內容時,AI 會把這些隱藏訊息當成使用者請求來執行。
傳統詐騙靠騙人點擊連結,現在的詐騙是直接騙 AI 幫忙點,速度更快,也更難被人類察覺。Guardio 研究人員 Nati Tal 和 Shaked Chen 表示,這類手法並非單純利用漏洞,而是抓住 AI 的「助人傾向」:快速、完整、毫不猶豫地執行指令。
「在 AI 對抗 AI 的時代,騙子不需要欺騙數百萬人,他們只要破解一個 AI 模型,就能無限複製攻擊,」Guardio 研究人員強調這種新型態威脅,正在取代傳統「以人為中心」的攻擊模式。他們稱這種現象為「Scamlexity」,意指代理式 AI 正在將詐騙提升到新的境界。
使用者該如何自保?
根據《The Hacker News》,研究結果顯示,AI 系統不能只依靠「等到攻擊發生再處理」的被動防禦,而是要能夠主動預測、偵測並中和攻擊,這需要一套更完整的防護措施,例如釣魚偵測、網址信譽檢查、網域偽裝辨識、惡意檔案防堵等,給 AI 加上安全護欄,避免讓 AI 代理誤入駭客設下的陷阱。
Brave 也建議為 AI 瀏覽器建立更嚴格的護欄,包含區分使用者命令和網站內容、檢查使用者的請求是否與要求的操作一致、在執行涉及安全與隱私的操作時要求使用者再次確認等。
《Bleeping Computer》提醒,在代理式 AI 瀏覽器安全機制尚未成熟之前,使用者不應該把銀行業務、購物或電子郵件登入等敏感任務交給瀏覽器。同時,也應該避免將帳號密碼、財務細節,或個人資料直接交給 AI 代理,而是在必要時手動輸入,作為最後的確認步驟。
AI 機器人浪潮來襲!立即免費下載《AI 機器人全球 7 大勢力關鍵報告》,解鎖各國 AI 機器人發展重點
*本文開放合作夥伴轉載,資料來源:《The Hacker News》、brave、《Bleeping Computer》,首圖來源:AI 工具生成