Perplexity 開發的Comet AI 瀏覽器存在一個重大安全漏洞，現已修復。經過詳細調查，Zenity Labs 的研究人員發現了一系列名為 PleaseFix 的漏洞。研究人員發現，惡意日曆邀請可以劫持瀏覽器的AI 助手，竊取個人文件，甚至接管用戶的 1Password 密碼庫。

眾所周知，智慧瀏覽器旨在成為超級助手，能夠代表用戶讀取、點擊和執行操作。然而，研究人員進一步探究發現，這些工具通常無法區分使用者指示和隱藏在網站或電子郵件中的惡意指示。

零點擊入口

這種攻擊尤其危險，因為它無需用戶點擊。用戶無需點擊任何可疑連結；攻擊是由看似普通的日曆邀請觸發的。研究人員使用了一種名為「間接提示注入」的技術，將指令隱藏在邀請描述的深處。使用者看到的只是會議時間，而人工智慧會讀取全部文字。一旦用戶點擊“接受會議”，人工智慧就會在後台執行隱藏的指令。

Zenity Labs 的聯合創始人 Michael Bargury表示，這是一個“固有的漏洞”，因為這些系統被設計成自主運行的，攻擊者可以簡單地將不受信任的數據推送到人工智慧中，從而繼承用戶授予它的任何存取權限。

PleaseFix攻擊的兩條路徑

進一步調查顯示，一旦人工智慧被劫持，它可能被引導至兩條截然不同的毀滅之路：

1. 路徑 1：竊取本機檔案（PerplexedBrowser）

人工智慧被誘騙掃描了電腦本身的內部資料夾。根據 Zenity Labs 的部落格文章（該文章已分享給 Hackread.com），該代理商「遵循其正常的執行模式」瀏覽目錄、開啟敏感檔案並讀取其內容。然後，它將這些資料傳輸到攻擊者控制的網站。由於此操作發生在側邊欄中，使用者仍然停留在日曆頁面，完全沒有察覺到資料被竊取。

2. 路徑二：劫持 1Password 保險庫

在另一份與 Hackread.com 分享的報告中，研究人員展示了一種風險更高的攻擊。由於 Comet 與1Password集成，被劫持的人工智慧可以被操控打開用戶未鎖定的密碼庫。該人工智慧利用隱藏在英語和希伯來語中的指令來規避檢測，從而搜尋憑證，甚至更改主密碼。這導致帳戶完全被接管，攻擊者可以不受限制地存取用戶的密碼。

修復和選擇加入安全

Zenity Labs 遵循了負責任的揭露流程，於 2025 年 10 月 22 日通知了Perplexity。 Perplexity的回應是實施了“硬性邊界”，從物理上阻止 AI 存取本地檔案路徑。

截至2026年2月13日，Zenity確認這些攻擊已失效。 Perplexity也推出了禁用敏感網站（例如1Password）上人工智慧功能的設定。然而，這些保護措施通常是“選擇加入”的，因此研究人員警告說，“風險在於用戶選擇退出”，用戶必須手動啟用諸如1Password中的“填寫前詢問”之類的設置，以確保人工智慧無法在未經許可的情況下執行操作。

專家評論

多位行業領導者與 Hackread.com 分享了他們對這些發現的見解。 Acalvio 執行長 Ram Varadarajan 表示：「Zenity Labs 的發現再次證實，人工智慧代理的攻擊面並不需要惡意軟體、漏洞利用或更高的存取權限。它只需要代理讀取的內容，而這正是代理的固有功能。」他補充說：「當人工智慧代理無法區分用戶意圖和隱藏在日曆邀請中的攻擊者指令時，安全邊界就失去了意義，因為指令是用明文。」

Menlo Security 的首席資訊安全長 Lionel Litty 敦促企業保持謹慎：「企業有充分的理由對人工智慧瀏覽器保持謹慎，因為它們帶來了一類新的風險，而企業對此尚未做好充分準備。即使您信任人工智慧瀏覽器供應商，並且對資料共享持開放態度，您也需要對瀏覽器的運作方式設定嚴格的安全防護措施」。

Cequence Security 的首席資訊安全長 Randolph Barr指出了這些工具從家庭轉移到辦公室的危險性：「我們從每一次技術普及浪潮中都知道……員工首先會在家裡試用這些工具。對於人工智能瀏覽器來說，好奇心會驅使他們快速嘗試。一旦用戶在家中習慣了這些工具，這些行為就不可避免地會蔓延到工作場所。」他還警告說，「惡意攻擊者現在可以識別數百萬個會話中的人工智慧瀏覽器更容易實施。

資料來源：https://hackread.com/pleasefix-flaw-hackers-1password-vault-comet-ai-browser/