近日,安全公司Guardio通过实验发现,Perplexity开发的Comet AI浏览器存在严重安全隐患,能够在缺乏用户确认的情况下被诱骗至虚假购物网站并自动完成下单。
Guardio团队专为测试制作了一个虚假的Walmart网页,并指示Comet为用户购买Apple Watch。实验中,Comet未对网站真伪进行核实,便自动填写信用卡与地址信息完成交易,而未征求用户同意。
此外,研究者还发送了一封伪造成银行的钓鱼邮件,Comet在未核验真实性的情况下点击了钓鱼链接并提示用户输入银行账号密码。
测试还包括利用伪装的CAPTCHA页面进行提示注入,Comet按照隐藏指令操作,触发了恶意文件下载。
Guardio警告称,这些漏洞显示agentic AI浏览器带来了新型攻击面,攻击方式正由以人为中心转向专门针对AI自动化流程。