恶意链接可一键操控Perplexity的Comet AI浏览器窃取数据
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
网络安全研究人员发现了“CometJacking”漏洞,攻击者可通过特定URL窃取Perplexity AI浏览器用户的敏感数据。该漏洞利用用户对AI助手的信任,绕过安全措施,直接访问用户的记忆数据,威胁企业通信和日程信息。
🎯
关键要点
- 网络安全研究人员发现了CometJacking漏洞,攻击者可通过特定URL窃取Perplexity AI浏览器用户的敏感数据。
- 该漏洞利用用户对AI助手的信任,绕过安全措施,直接访问用户的记忆数据。
- 攻击通过五步流程实施,恶意URL中的查询参数指令操控Comet访问用户的记忆数据和关联服务。
- 攻击者使用base64编码对窃取数据进行混淆,绕过现有安全检查。
- 研究人员成功演示了电子邮件窃取和日历收割攻击,单次入侵可能暴露大量企业通信和日程数据。
- Perplexity最初回应称未发现安全影响,凸显新兴AI平台在漏洞评估方面的盲区。
- CometJacking漏洞揭示了AI原生浏览器面临的新型攻击向量,安全团队需开发新型防御策略。
❓
延伸问答
CometJacking漏洞是如何工作的?
CometJacking漏洞通过特定的恶意URL操控Perplexity AI浏览器,利用用户对AI助手的信任,直接访问用户的记忆数据。
攻击者如何绕过Perplexity的安全措施?
攻击者使用base64编码对窃取的数据进行混淆,从而绕过现有的安全检查,避免触发泄露警报。
CometJacking漏洞对企业有什么潜在威胁?
该漏洞可能导致大量企业通信和日程数据的泄露,尤其是在用户点击恶意链接后,攻击者可以轻易获取敏感信息。
Perplexity对CometJacking漏洞的初步回应是什么?
Perplexity最初回应称未发现安全影响,并将报告标记为'不适用',显示出对漏洞评估的盲区。
CometJacking攻击的实施步骤是什么?
攻击通过五步流程实施,用户点击恶意链接后,恶意URL中的查询参数指令操控Comet访问用户的记忆数据。
如何防范CometJacking漏洞带来的风险?
安全团队需开发新型防御策略,以检测并消除恶意的AI指令注入攻击,特别是在Agentic浏览器普及后。
🏷️
标签
➡️
