主要内容
在众多 AI 系统爆发之际,来自 Perplexity 的 AI 浏览器如 Fellou 和 Comet 已开始在企业桌面亮相。这类应用被描述为普通浏览器的下一次进化,内置了 AI 功能,能读取和总结网页,最先进的还能自主处理网络内容。理论上,AI 浏览器的前景是能加快数字工作流程、进行在线研究并从内部和外部互联网检索信息。然而,安全研究团队得出结论,AI 浏览器给企业带来了不容忽视的严重风险。问题在于 AI 浏览器极易受到间接提示注入攻击。即浏览器中的模型(或通过浏览器访问)会接收隐藏在精心制作网站中的指令。通过以人类难以察觉的方式将文本嵌入网页或图像,AI 模型可接收 AI 提示形式的指令或用户输入提示的修改。对于 IT 部门和决策者来说,AI 浏览器目前尚不适合在企业中使用,且是重大的安全威胁。
在测试中,研究人员发现在线内容中的嵌入文本会被 AI 浏览器处理并解释为对智能模型的指令。这些指令可利用用户权限执行,用户访问信息的权限越大,对组织的风险就越大。AI 赋予用户的自主性是放大攻击面的同一机制,自主性越强,数据丢失的潜在范围就越大。例如,可将文本命令嵌入图像,在浏览器中显示时可能触发 AI 助手与敏感资产(如企业电子邮件或在线银行仪表板)交互。另一项测试显示,AI 助手的提示如何被劫持并代表用户执行未经授权的操作。这些类型的漏洞明显违背了所有数据治理原则,是未经授权浏览器形式的“影子 AI”对组织数据构成真实威胁的最明显例子。
AI 模型充当了不同领域之间的桥梁,绕过了同源策略(防止一个域访问另一个域数据的规则)。实施和治理方面的挑战在于浏览器中用户查询与网络上访问的实时数据的融合。如果大型语言模型无法区分安全和恶意输入,就会随意访问其人类操作员未请求的数据并对其进行操作。赋予代理能力后,后果可能是深远的,容易在整个企业中引发一系列恶意活动。对于依赖数据分段和访问控制的任何组织,用户浏览器中的受损 AI 层可绕过防火墙、进行令牌交换并以与用户相同的方式使用安全 cookie。实际上,AI 浏览器成为了内部威胁,可访问其人类操作员的所有数据和功能。浏览器用户不一定会意识到“幕后”的活动,因此受感染的浏览器可能在未被发现的情况下长时间运行。
威胁缓解方面,IT 团队应将第一代 AI 浏览器视为对待未经授权安装第三方软件的情况。虽然相对容易阻止用户安装特定软件,但值得注意的是,Chrome 和 Edge 等主流浏览器正以 Gemini(在 Chrome 中)和 Copilot(在 Edge 中)的形式增加大量 AI 功能。浏览器生产公司正在积极探索 AI 增强浏览功能。