伪造 AI 侧边栏可诱骗 Atlas、Comet 浏览器用户执行危险操作

OpenAI 的 Atlas 浏览器与 Perplexity 的 Comet 浏览器存在安全漏洞，攻击者可通过伪造内置 AI 侧边栏，诱骗用户执行危险操作。

这种 “AI 侧边栏伪造攻击” 由浏览器安全公司 SquareX 的研究人员发现，且可在两款浏览器的最新版本上生效。

研究人员模拟了三种真实攻击场景：攻击者可利用 AI 侧边栏伪造手段窃取加密货币、访问目标用户的 Gmail 与 Google Drive 服务，以及劫持设备。

Atlas 与 Comet 均为 “智能体 AI 浏览器”，它们将大型语言模型集成到侧边栏中，用户浏览网页时可通过侧边栏互动 —— 例如要求总结当前页面内容、执行命令或完成自动化任务。

其中，Comet 浏览器于今年 7 月发布，而 ChatGPT Atlas 浏览器则在本周早些时候面向 macOS 系统推出。自发布以来，已有多项研究指出，Comet 在特定情况下存在安全风险。

注入恶意 AI 智能体

SquareX 发现，在 Comet 与 Atlas 浏览器中，攻击者可通过恶意扩展程序向用户浏览的网页注入 JavaScript 代码，在真实 AI 侧边栏上方覆盖一层伪造侧边栏。

伪造的侧边栏与浏览器原生侧边栏完全一致，从视觉上看属于标准用户界面的一部分，极具迷惑性。由于伪造侧边栏会覆盖真实侧边栏并拦截所有用户交互操作，用户完全无法察觉自己正处于欺诈环境中。

SquareX 表示：“受害者打开新浏览器标签页后，该扩展程序可向网页注入 JavaScript 代码，生成一个与 AI 浏览器原生侧边栏一模一样的伪造侧边栏。”

借助扩展程序，注入的 JavaScript 代码可在用户访问的所有网站上，渲染出这个恶意伪造的侧边栏覆盖层。

SquareX 指出，这类恶意扩展程序仅需获取 “主机（host）” 与 “存储（storage）” 权限即可运行 —— 而这两类权限在 Grammarly（语法检查工具）、密码管理器等常用效率工具中十分常见，不易引发用户警惕。

研究人员称：“伪造侧边栏与真实 AI 侧边栏在视觉呈现和操作流程上完全无差异，用户很可能会误以为自己在与浏览器原生的 AI 侧边栏互动。”

为验证研究结果，SquareX 在 Comet 浏览器中调用谷歌 Gemini AI 进行测试。研究人员通过设置特定参数，让 AI 对特定提示词返回包含恶意指令的响应。

三类典型攻击场景

SquareX 在报告中重点列举了以下三种攻击案例：

1. 当用户询问与加密货币相关的问题时，诱导其访问钓鱼页面；
2. 通过伪造文件共享应用发起 OAuth 攻击，劫持用户的 Gmail 或 Drive 账户；
3. 当用户寻求软件安装指引时，向其提供反向 shell（远程控制工具）的安装命令。

实际攻击中，攻击者可能会设置更多 “触发提示词”，频繁诱导用户执行各类高风险操作。

漏洞影响范围与厂商响应

开展研究时，OpenAI 尚未发布 Atlas 浏览器，因此 SquareX 最初仅在 Comet 浏览器上测试了 AI 侧边栏伪造攻击。

但在 Atlas 浏览器正式发布后，研究人员同样对其进行了测试，并确认该攻击手段对 Atlas 也有效。

目前，研究人员已就该漏洞联系 Perplexity 与 OpenAI，但两家公司均未回应。BleepingComputer（科技媒体）也尝试联系这两家企业，截至报道发布时仍未收到回复。

智能体 AI 浏览器用户需警惕这类工具存在的多重风险，建议仅将其用于非敏感操作，避免处理涉及电子邮件、财务信息或其他私人数据的任务。

尽管浏览器开发商会在每次版本更新中针对新型攻击添加安全防护措施，但目前这类 AI 浏览器的成熟度仍不足 —— 其攻击面尚未降低到 “除日常轻度浏览外可安全使用” 的合理水平。

---

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；