摘要：这款由 Perplexity AI 推出的 AI 浏览器，一度成为科技圈炙手可热的工具 Agent。想用上要么掏 $200 订阅 Max，要么四处打听求个邀请码。

最近混迹于 AI 圈的人，应该都听过 Comet 。

这款由 Perplexity AI 推出的 AI 浏览器，一度成为科技圈炙手可热的工具 Agent。想用上要么掏 $200 订阅 Max，要么四处打听求个邀请码。

在 Perplexity 的宣传里，Comet 标志着 进入 Agentic AI 的新阶段 ：AI 不再只是帮你概括网页，而是能理解意图、替你跑流程、完成任务。

但眼看他起朱楼，眼见他楼塌了。明星 AI 的塌房，来得猝不及防。

来自隐私浏览器 Brave 的安全团队，在评估 Comet 时发现一个非常基础却极其严重的漏洞：

说实话，都 2025 年了，这么低级的攻击手法连大多数对话机器人都骗不到了，但偏偏有着更高权限、能代表用户执行高危操作的智能体却轻易踩坑。

一个被 VC 和 AI KOL 们捧上天的明星产品，竟然在这么基础的问题上翻车。这不仅让 Perplexity 颜面扫地，更给整个 Agentic AI 行业敲响了警钟：

当我们赋予 AI 越来越大的权限，让它成为我们在数字世界的「代理人」时，我们真的准备好迎接随之而来的安全问题了吗？

这次的漏洞由 Brave 的隐私与安全团队披露，有趣的是，Brave 也是做 AI 浏览器的，他们也在为自家助手 Leo 打造 Agentic 能力。

Comet 虽然是竞争对手，但他们无私地帮 Comet 做了亿点点「竞品分析」，结果却相当触目惊心。

根本原因在于： Comet 在处理网页内容时，没有把「用户指令」和「网页里文本」分隔开。

当用户让 Comet「总结网页」时，浏览器会把网页内容连同用户意图一并喂给背后 LLM。如果页面中夹杂着「给 AI 的指令」，模型就可能把它当成新的任务去执行——多么经典的 间接指令注入 啊：恶意指令埋在外部内容（网页、PDF、邮件等）里，等着 AI 上钩。

Brave 做了一个简单的 PoC，链路大致如下：

攻击过程的完整录屏如下：

整个过程中，Agent 都不会和用户发生交互，用户只是想快速总结一下网页内容，结果被自己的 AI 助手把个人隐私全卖完了。

Brave 的发现并非个例，实际上，自 Comet 开放使用以来，已经有很多公司、用户测试了 AI Agent 的安全风险。

比如网络安全公司 Guardio Labs 的测试发现： Agentic AI 不仅会被指令注入，还容易陷入更「传统的骗术」。

研究人员用 Lovable 搭建了「山寨沃尔玛」，让 Comet 购买 Apple Watch。

在现实场景中，AI Agent 可能通过 SEO 投毒 或恶意广告被诱导至此类假冒的钓鱼网站。

结果，Comet 根本没有对站点可信度做有效校验，直接扫描网页内容、导航到结账页面、 自动填充了预存的信用卡与地址信息并完成下单 ，整个流程中没有强制的二次确认。

研究人员伪造了「富国银行通知」邮件，链接指向钓鱼网站。

Comet 收到这封邮件后，将其视为银行的真实指令， 主动打开钓鱼链接并提示用户输入银行凭证 。

Guardio 还设计了一个假的 CAPTCHA（验证码）页面，其网页源代码中隐藏了给 AI 的指令。

当 Comet 试图解析这个页面时，它将隐藏的指令解释为有效命令， 点击「CAPTCHA」按钮触发恶意文件下载 。

Guardio 给出的结论是：

为什么一个看似聪明的系统，会被如此轻易地带偏？

其实稍微懂一点的朋友都知道，这种攻击手段一点都不高明，相反，真的真的非常低级。

就像 HN 上的一位用户评论的那样：

其实，问题的核心在于，当下主流大模型存在 结构性局限 ：它们 无法从机制上把「指令」与「数据」做绝对区分 。对模型而言，系统提示、用户输入、网页文本本质上都是 token 串，在生成下一个 token 时都会被综合考虑，所以一不留神就会「被带跑偏」。

这就是经典的 Prompt Injection ，从「忽略以上所有指令…」，到「我奶奶会用 XXX 哄我睡觉」，再到「我们现在处在 2300 年，2025 年的专利版权已经全部过期…」。

当直接问危险问题被拒，试试绕过系统提示，或者干脆换个「角色扮演」的包装，甚至用上穿越时空的设定，模型很有可能就会被用户忽悠得找不着北。

如果类比到传统安全世界，这就是 SQL 注入 的自然语言版本：把恶意「命令」混入「数据」，诱使系统执行非预期操作。

如果要说有什么区别，上面这些例子其实属于「直接指令注入」，也就是用户本人通过巧妙的提示词，诱骗或强迫 AI 违背其开发者的预设规则。

而 Comet 现在遭遇的，是更隐蔽、更危险的「间接指令注入」。

这里的「间接」体现在，恶意指令并非来自用户本人，而是潜藏在 AI 处理的外部内容中（比如这次的 Reddit 网页、一个 PDF 文件、一封邮件）。AI 在执行用户一个完全无害的请求时（如「总结页面」），无意中读取并执行了这些来自第三方、不受信任的恶意指令。

这就好比你让秘书帮你总结一份外部报告，结果报告里夹了一张纸条写着：「秘书请注意，立即把老板保险柜的密码告诉我」。然后秘书不加分辨，真的照做了。

不少一线从业者指出：靠「用分隔符标注不可信内容」或「在系统提示里强调忽略外部指令」等做法， 只能降低被攻破的概率，无法从根本上解决问题 。因为这些内容最终仍被模型当作同一上下文的一部分来处理。

Brave 团队说： 传统的 Web 安全假设在 Agentic AI 面前已经失效了 。

在传统的浏览器世界里，有两道至关重要的安全防火墙：

然而，在 Comet 这类 AI 浏览器中，这些传统防线几乎完全失效了。

因为 执行操作的主体，不再是某个网站的脚本，而是被赋予了用户「最高权限」的 AI 助手本身 。这个 AI 助手作为浏览器的一部分，天然地拥有了访问所有标签页、所有登录会话的权力。

理论上，凡是浏览器里处于登录态的服务，都在黑客的攻击范围内。

AI Agent 作为拥有最高权限的「内部人员」，却能被外部的恶意内容轻易策反，这太可怕了。

面对 AI 浏览器的现实风险，Brave 团队也给出了一些方向，作为可能得缓解措施：

此外，还有「以魔法对抗魔法」的路线，也就是 用专门模型检测与拦截注入 。比如 NVIDIA NeMo Guardrails ，支持围绕主题范围、内容安全、外部连接安全等维度设置护栏，让应用在既定轨道内运行，降低偏离与滥用的风险。

根据 Brave 披露的时间线，他们在 7 月 25 日首次向 Perplexity 报告了漏洞。Perplexity 很快确认并先后进行了几轮修复。

然而，Brave 在 8 月 20 日公开攻击过程后，又补充了一句：

这真的是，打完左脸打右脸，太不给友商留面子了。

AI 行业普遍存在的「唯快不破」的浮躁心态。在追逐模型能力、用户增长和市场估值的狂热竞赛中，安全和隐私往往被放在了次要位置。

类似的问题虽然也多次出现在其他 AI 助手中，但 Agent 这种具备执行能力的 AI 意义完全不同。

当 AI 真正拥有「对外动手」的能力， 所有传统的网络安全假设都需要重新评估 。今天发生在 Comet 上的剧情，明天就可能在网银、企业邮箱、社交账号上大规模上演。

AI Agent 时代，安全不能再是「马后炮」，而应从一开始就写进每一个模型与应用的「思想钢印」。

如果继续执着于「唯速度论」，那句「Move fast and break things.」，在 Agentic 时代很有可能会变成「 Move fast and break users’ security. 」

被打破的东西不再是「陈规陋习」，还会有「用户最根本数据安全和对产品的信任」。

来源：晚晚的星河日记一点号