關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
顯示分類
2025.10.13
事件與威脅/資訊安全
SquareX 發現 AI 瀏覽器容易受到 OAuth 攻擊、惡意軟體下載和惡意連結分發
研究摘要與關鍵警告

隨著人工智慧瀏覽器在企業中的快速普及,SquareX發布了重要的安全研究報告,揭露了重大漏洞,這些漏洞可能使攻擊者能夠利用人工智慧瀏覽器竊取敏感資料、傳播惡意軟體並未經授權存取企業 SaaS 應用程式。

人工智慧瀏覽器,特別是那些具備「代理型 (Agentic)」能力的瀏覽器,旨在自主完成複雜的任務,例如研究活動、資料彙整或自動化流程。這種高度的自動化雖然提高了生產力,卻也為攻擊者打開了全新的攻擊介面。SquareX 的研究將焦點放在 AI 瀏覽器如何被欺騙,使其做出違背用戶安全利益的行為,有效地將原本應是生產力工具的瀏覽器,變成企業資料竊取與惡意軟體傳播的幫兇。

隨著代理型人工智慧 (AI) 與瀏覽器的整合度不斷提升,AI 代理程式可能很快就會取代人類用戶主導瀏覽活動。這種轉變需要企業、瀏覽器開發者和網路安全公司之間的合作,以創建強大的安全框架和防護措施,防止攻擊者利用 AI 瀏覽器。 SquareX 的發現對依賴傳統解決方案來解決現代威脅的危險性發出了至關重要的警告,並希望能夠促進全行業的緊急合作。

 

核心安全漏洞分析

SquareX 的研究詳細描述了 AI 瀏覽器面臨的三大類主要威脅:OAuth 協議濫用、惡意軟體下載以及惡意連結與檔案傳播。

1. OAuth 協議濫用與身份劫持攻擊

OAuth(Open Authorization)是一個廣泛用於授權的開放標準協定,它允許用戶授予第三方應用程式訪問其在另一服務(例如 Google 或 Microsoft)上資料的有限權限,而無需分享密碼。SquareX 發現,這是攻擊者利用 AI 瀏覽器發動攻擊的一個主要途徑。

攻擊機制:

  • 誘騙 AI 授權: 攻擊者設計惡意的網頁內容或提示,誘導 AI 瀏覽器在執行其被分配的任務時,不經意地將用戶導向至惡意 OAuth 授權流程。由於 AI 瀏覽器傾向於自主完成任務,它可能會在沒有人類用戶充分審核的情況下,執行點擊或授權操作。

  • 權限無限擴大: 在 SquareX 的測試中,研究人員展示了如何成功欺騙 AI 瀏覽器,使其在執行一個單純的研究任務時,無意中授予了攻擊者對受害者電子郵件和 Google Drive 帳戶的完全存取權限

  • 隱蔽的身份竊取: 這種攻擊利用了 AI 代理程式的「信任」本質,使攻擊者能夠竊取存取憑證,進而冒充用戶身份,在企業的 SaaS(軟體即服務)應用程式中進行未經授權的操作。一旦取得郵件或雲端硬碟的存取權,攻擊者就能竊取敏感資料、發送釣魚郵件,甚至進行勒索。

2. 繞過防護的惡意軟體下載

傳統的瀏覽器安全機制依賴於人類用戶的警覺性(例如下載前的人為確認)或基於簽章的偵測系統。然而,AI 瀏覽器的自主性打破了這一防線。

攻擊機制:

  • AI 執行惡意工作流程: 研究證明,AI 瀏覽器可以被系統性地欺騙,使其執行有害的工作流程。攻擊者透過精心構造的任務提示或網頁內容,可以誘導 AI 瀏覽器直接下載已知的惡意軟體

  • 規避人類審核: 在傳統流程中,當瀏覽器提示下載檔案時,用戶會看到一個警告或需要手動確認。AI 代理程式在執行自動化任務時,可能會將這些安全提示視為「任務障礙」而忽略或自動確認,從而使惡意軟體在沒有人類干預的情況下靜默安裝。

  • 數據外洩與內部傳播: 更甚者,AI 瀏覽器可以被誘導,將企業內部的重要文件直接透過電子郵件發送給外部攻擊者。這不僅是惡意軟體傳播,更是惡性資料外洩的範例。

3. 惡意連結與社交工程擴散

AI 瀏覽器的自主操作和對聯絡人名單或通訊群組的潛在存取能力,使其成為傳播惡意連結的高效管道。

攻擊機制:

  • 自動化釣魚活動: 攻擊者可以誘導 AI 瀏覽器發送包含惡意連結的訊息,或是在企業內部通訊平台(如 Slack、Teams)中發布惡意內容。由於這些訊息源於受信任的內部帳戶,因此更容易被其他員工點擊,從而實現快速的橫向移動與大規模感染。

  • 代理身份的誤導性: 由於 AI 瀏覽器代行的是用戶的身份,這使得惡意連結或訊息具備高度的「信任度」,顯著提升了社會工程攻擊的成功率。

 

延伸威脅:瀏覽器擴充程式的身份攻擊

除了 AI 瀏覽器本身的安全問題,SquareX 的研究也延伸至對瀏覽器擴充程式(Extensions)的身份攻擊,指出這類威脅日益普遍。

  • OAuth 攻擊擴散: 研究顯示,針對 Chrome 擴充程式的 OAuth 攻擊,可以在短短數週內導致嚴重的企業資料外洩事件。攻擊者可能創建一個看似無害的擴充程式,隨後在安裝後將其轉變為惡意程式,或利用開發者身份的漏洞來接管一個已有大量用戶的受信任擴充程式。

  • 竊取敏感數據: 透過這類攻擊,惡意擴充程式可以竊取會話 Cookie、影片串流資料,甚至靜默地將 GitHub 協作者新增至私人儲存庫,從而危及企業的知識產權與開發環境。

 

企業呼籲與防禦策略

SquareX 的研究結果對當前企業的資安防禦體系提出了嚴峻的挑戰:單純依賴傳統的網路周邊防禦或基於簽章的解決方案,已無法有效防範由 AI 瀏覽器引入的新型威脅。

1. 迫切需要新的安全框架

面對 AI 瀏覽器的自主性和代理身份,企業需要一種瀏覽器原生 (Browser-native) 的解決方案,能夠在瀏覽器內部實施安全護欄。

  • Agentic Identity 考量: 新的安全框架必須能夠辨識和管理 AI 代理程式的「身份」與行為,區分其是執行合法任務還是被誘導執行惡意工作流程。

  • Agentic DLP (資料外洩防護): 傳統的 DLP 系統需升級,以監控和阻止 AI 瀏覽器將敏感業務檔案發送給外部電子郵件地址或上傳到非授權位置的行為。這種防護必須深入到 AI 代理程式的決策邏輯層面。

2. 建議的防禦與緩解措施

為了應對 ClayRat 等惡意軟體利用 AI 瀏覽器傳播的風險,企業和個人應採取以下措施:

  • 實施 BDR 解決方案: 部署業界領先的「瀏覽器偵測與響應」(Browser Detection and Response, BDR)解決方案。BDR 旨在採用以攻擊為中心的方法來保護企業用戶免受各種進階威脅,例如惡意 QR Code、瀏覽器內嵌瀏覽器 (Browser-in-the-Browser) 釣魚、基於巨集 (macro-based) 的惡意軟體以及其他涉及惡意檔案的網路攻擊。

  • 嚴格的擴充程式審查: 企業應建立嚴格的政策,限制員工安裝未經批准的瀏覽器擴充程式。在安裝或更新任何擴充程式之前,個人與企業應進行仔細檢查。

  • 用戶教育與警覺: 雖然 AI 代理程式參與了攻擊,但許多初始攻擊仍需人類用戶啟動,例如點擊釣魚連結或授予過度權限。持續的資安教育,特別是針對 OAuth 授權請求和未知來源的下載,至關重要。

  • 強化零信任原則: 對於所有 SaaS 應用程式的存取,都應實施多因素身份驗證 (MFA) 和最小權限原則,即使是看似來自內部帳戶的存取請求,也要進行嚴格驗證。

SquareX 的研究清晰地描繪了 AI 時代下,傳統資安邊界如何被打破的圖景。隨著 AI 瀏覽器在工作中的角色愈發核心,資安產業必須立即行動,共同建立足以應對這些自主化、代理型威脅的新一代安全防護體系。


資料來源:https://hackread.com/squarex-shows-ai-browsers-fall-prey-to-oauth-attacks-malware-downloads-and-malicious-link-distribution/
 
SquareX 最新研究揭示人工智慧瀏覽器存在重大安全漏洞,使攻擊者能利用 OAuth 協議、誘導 AI 代理程式執行惡意工作流程,進而竊取敏感資料、傳播惡意軟體,並危及企業 SaaS 存取。