安全研究人员发现 Perplexity 的 Comet 浏览器中存在严重漏洞,攻击者可利用该漏洞劫持用户帐户并通过浏览器的 AI 摘要功能执行恶意代码。这些漏洞由 Brave 和 Guardio Labs 独立发现,利用间接提示注入攻击,在用户请求网页摘要时绕过传统的 Web 安全机制。Brave 通过一篇恶意 Reddit 帖子演示了帐户接管,该帖子在摘要时会危及 Perplexity 帐户。该漏洞允许攻击者在网页内容中嵌入命令,浏览器的大型语言模型会在经过身份验证的会话中以完全用户权限执行这些命令。Guardio 的测试发现,该浏览器会在没有警告指示器的情况下完成网络钓鱼交易并提示用户输入银行凭证。自 7 月起,Perplexity Pro 和 Enterprise Pro 订阅用户可以使用这款付费浏览器,它会处理不受信任的网页内容,而不会区分合法指令和攻击者的有效载荷。
在 Slashdot 上阅读更多内容。