近日有安全研究人员公开警告,由Perplexity推出的Comet浏览器存在重大安全隐患和隐私风险。据LayerX安全团队披露,Comet浏览器由于其“代理AI”功能,可能遭受新型“CometJacking”攻击:用户只需点击带有特殊指令的恶意链接,攻击者就能远程提取用户在浏览器中处理的敏感信息。
攻击流程显示,恶意URL可让Comet AI在用户不知情下访问其内存,将关键信息编码、传送至攻击者服务器。包括邮件编辑、日程预约等元数据,都可能因此泄露。此类攻击只需用户完成一次点击即可,无须其他配合,大大加大了数据泄露风险。
更值得关注的是,Comet AI具备办理预订、发送邮件等广泛权限,倘若遭受攻击,后果可能尤为严重。虽然LayerX研究团队已于8月向Perplexity报告相关安全问题,但厂商回应称“无安全影响”,尚未推出公开应对措施。专家建议,用户在选择此类新兴AI浏览器产品时,务必提高警惕,慎重对待个人数据安全问题。