利用人工智慧 (AI) 功能代表用戶自主在多個網站上執行操作的智慧網路瀏覽器可能會被訓練和欺騙，從而落入網路釣魚和詐騙陷阱。Guardio在事先與 Hacker News 分享的報告中表示，這次攻擊的核心在於利用 AI 瀏覽器傾向於對自己的行為進行推理，並利用這種推理來降低模型自身的安全防護措施。
「人工智慧現在可以在混亂且動態的頁面中即時運行，同時不斷地請求資訊、做出決策，並在此過程中描述其行為。嗯，『描述』這個詞用得太輕描淡寫了——它簡直是在喋喋不休，而且說得太多了！」安全研究員Shaked Chen說道。

這就是我們所說的『智能體胡言亂語』：人工智慧瀏覽器會暴露它所看到的東西、它認為正在發生的事情、它下一步的計劃，以及它認為哪些信號可疑或安全。

Guardio 表示，透過攔截瀏覽器與供應商伺服器上運行的 AI 服務之間的流量，並將其作為輸入提供給生成對抗網路 ( GAN )，它能夠在不到四分鐘的時間內使 Perplexity 的 Comet AI 瀏覽器成為網路釣魚詐騙的受害者。

這項研究建立在VibeScamming和Scamlexity等先前技術的基礎上，這些技術發現，可以透過隱藏的提示注入，誘使基於氛圍編碼的平台和人工智慧瀏覽器產生詐騙頁面或執行惡意操作。換句話說，由於人工智慧代理無需持續的人工監督即可處理任務，攻擊面發生了變化，詐騙不再需要欺騙用戶，而是旨在欺騙人工智慧模型本身。

Shaked Chen解釋說：「如果你能觀察到代理將哪些內容標記為可疑、哪些內容猶豫不決，更重要的是，它對頁面的想法和評論，你就可以把這些用作訓練信號。騙局會不斷演變，直到人工智能瀏覽器能夠可靠地落入另一個人工智能為它設下的陷阱。」

簡而言之，其理念是建立一個“詐騙機器”，不斷迭代優化和重新生成釣魚頁面，直到代理瀏覽器停止抱怨並開始執行威脅行為者的指令，例如在旨在實施退款詐騙的虛假網頁上輸入受害者的憑證。

這種攻擊的有趣之處和危險之處在於，一旦攻擊者對某個網頁進行反覆修改，使其能夠攻擊特定的AI瀏覽器，那麼所有使用相同AI瀏覽器的使用者都將受到攻擊。換句話說，攻擊目標已經從人類用戶轉移到了AI瀏覽器。

Guardio說：「這揭示了我們即將面臨的不幸未來：詐騙手段不僅會在實際環境中推出和調整，還會離線訓練，以數百萬用戶依賴的模型為藍本，直到它們在首次接觸時就能完美奏效。因為當你的AI瀏覽器解釋其停止運行的原因時，它就等於教會了攻擊者如何繞過它。」

此次披露正值 Trail of Bits演示了針對 Comet 瀏覽器的四種提示注入技術，這些技術利用瀏覽器的 AI 助手，在用戶請求摘要其控制下的網頁時，從 Gmail 等服務中提取用戶的私人信息，並將數據洩露到攻擊者的伺服器。

上週，Zenity Labs 也詳細介紹了兩種針對 Perplexity Comet 的零點擊攻擊。這兩種攻擊利用嵌入會議邀請中的間接提示注入，將本地文件洩露到外部伺服器（即PerplexedComet），或在用戶安裝並解鎖1Password 密碼管理器擴充功能後劫持用戶的 1Password 帳戶。這些問題統稱為 PerplexedBrowser，目前已被這家人工智慧公司修復。

安全研究員Stav Cohen表示，這是透過一種被稱為意圖衝突的提示注入技術實現的，這種技術「當代理將良性用戶請求與來自不受信任的網路數據的攻擊者控制的指令合併到一個執行計劃中，而沒有可靠的方法來區分兩者時就會發生」。

對於大型語言模型 (LLM) 及其與組織工作流程的整合而言，提示注入攻擊仍然是一項根本性的安全挑戰，這主要是因為徹底消除這些漏洞可能並不現實。 2025 年 12 月，OpenAI指出，儘管可以透過自動化攻擊發現、對抗訓練和新的系統級安全措施來降低相關風險，但此類弱點在智慧瀏覽器中「不太可能」得到徹底解決。

資料來源：https://thehackernews.com/2026/03/researchers-trick-perplexitys-comet-ai.html