恶意链接可一键操控Perplexity的Comet AI浏览器窃取数据
内容提要
网络安全研究人员发现了“CometJacking”漏洞,攻击者可通过特定URL窃取Perplexity AI浏览器用户的敏感数据。该漏洞利用用户对AI助手的信任,绕过安全措施,直接访问用户的记忆数据,威胁企业通信和日程信息。
关键要点
-
网络安全研究人员发现了CometJacking漏洞,攻击者可通过特定URL窃取Perplexity AI浏览器用户的敏感数据。
-
该漏洞利用用户对AI助手的信任,绕过安全措施,直接访问用户的记忆数据。
-
攻击通过五步流程实施,恶意URL中的查询参数指令操控Comet访问用户的记忆数据和关联服务。
-
攻击者使用base64编码对窃取数据进行混淆,绕过现有安全检查。
-
研究人员成功演示了电子邮件窃取和日历收割攻击,单次入侵可能暴露大量企业通信和日程数据。
-
Perplexity最初回应称未发现安全影响,凸显新兴AI平台在漏洞评估方面的盲区。
-
CometJacking漏洞揭示了AI原生浏览器面临的新型攻击向量,安全团队需开发新型防御策略。
延伸解读
CometJacking漏洞的影响
CometJacking漏洞的出现标志着AI驱动浏览器面临的新型安全威胁。攻击者利用用户对AI助手的信任,能够轻易窃取敏感数据。这种攻击方式不仅影响个人用户,也对企业的通信和日程管理构成严重风险,企业需对此保持高度警惕。
安全防护的挑战
尽管Perplexity采取了隔离措施来保护用户数据,但CometJacking漏洞显示出现有安全防护的不足。攻击者通过巧妙的编码技术绕过了这些防护,企业和用户需要重新评估其安全策略,以应对这种新型攻击方式。
对AI平台的警示
Perplexity最初对CometJacking漏洞的回应显示出新兴AI平台在安全评估方面的盲区。随着AI技术的普及,安全团队必须加强对AI系统的漏洞检测和防御策略,以防止潜在的恶意利用。
延伸问答
CometJacking漏洞是如何工作的?
CometJacking漏洞通过特定的恶意URL操控Perplexity AI浏览器,利用用户对AI助手的信任,直接访问用户的记忆数据。
攻击者如何绕过Perplexity的安全措施?
攻击者使用base64编码对窃取的数据进行混淆,从而绕过现有的安全检查,避免触发泄露警报。
CometJacking漏洞对企业有什么潜在威胁?
该漏洞可能导致大量企业通信和日程数据的泄露,尤其是在用户点击恶意链接后,攻击者可以轻易获取敏感信息。
Perplexity对CometJacking漏洞的初步回应是什么?
Perplexity最初回应称未发现安全影响,并将报告标记为'不适用',显示出对漏洞评估的盲区。
CometJacking攻击的实施步骤是什么?
攻击通过五步流程实施,用户点击恶意链接后,恶意URL中的查询参数指令操控Comet访问用户的记忆数据。
如何防范CometJacking漏洞带来的风险?
安全团队需开发新型防御策略,以检测并消除恶意的AI指令注入攻击,特别是在Agentic浏览器普及后。
