你的AI浏览器正在"裸奔"：一张图看懂新型攻击链

「浏览器能自己订机票了，但没人告诉你——它也能自己把你的工资转走。」这是安全研究员在拆解Comet、Atlas等AI浏览器后的真实发现。当大模型接管浏览器控制权，传统安全防线正在从内部瓦解。

一图读懂：攻击链全景

Varonis威胁实验室画出了一张让人脊背发凉的攻击路径图。我们按这张图逐层拆解，看看你的AI浏览器是怎么从"智能助手"变成"内鬼"的。

第一层：入口——你信任的网页

攻击起点出乎意料地普通：一个你主动访问的网站。可能是搜索结果里的博客，也可能是邮件里的链接。在传统浏览器里，XSS（跨站脚本攻击）最多偷个Cookie，影响范围锁死在当前页面。

但在AI浏览器里，这个漏洞的杀伤力被放大了几十倍。因为AI代理（Agent）会"阅读"页面内容，攻击者可以把恶意指令藏进看似无害的文字里——这叫"间接提示词注入"（Indirect Prompt Injection）。

用户看不到这些隐藏指令，但AI会忠实执行。就像有人在你耳边说话，旁边的人听不见，但你的行动已经被操控了。

第二层：跳板——特权扩展的"后门"

Perplexity的Comet浏览器有个关键设计：externally_connectable机制。这个技术术语翻译成人话就是：perplexity.ai域名被列入了"白名单"，可以直接向浏览器后台发号施令。

配合debugger权限，这个后台扩展拥有近乎上帝视角的能力：点击任意按钮、填写任何表单、读取所有标签页内容。更麻烦的是，普通用户在设置里找不到关闭它的开关。

OpenAI的Atlas、微软Edge Copilot、Brave Leo AI虽然架构不同，但核心逻辑相似——都必须打破浏览器传统的沙盒隔离，让AI能"动手"操作。

Varonis研究人员发现，这种设计是功能和安全之间的零和博弈：AI越能干，攻击面就越宽。

第三层：收割——以你的身份做坏事

攻击最难防的点在于：所有操作用的都是真实用户凭证。AI代理登录着你的邮箱、银行、企业后台，执行指令时不会触发二次验证。

恶意行为看起来和正常办公一模一样：发邮件、下载文件、跳转页面。安全系统很难区分"用户在订会议室"和"AI被诱导转走数据"的区别。

攻击者可以静默读取本地敏感文件、批量外发邮件、诱导跳转到钓鱼站点、甚至在设备上植入恶意软件。传统浏览器攻击影响一个会话，AI浏览器攻击可能端掉整个数字身份。

为什么偏偏是现在爆发？

AI浏览器不是新概念，但2024-2025年产品密集上市让风险集中暴露。Perplexity的Comet、OpenAI的Atlas都在近期开放测试，微软把Copilot深度集成进Edge，Brave浏览器全线接入Leo AI。

这些产品赶的是同一个风口：让大模型从"聊天框"走进"操作系统"。但安全架构的迭代速度明显落后——传统浏览器花了二十年建立的隔离机制，被AI代理一句话就绕过了。

Varonis团队在测试中发现，厂商对"AI能做什么"的边界定义模糊。用户说"整理我的邮件"，AI怎么知道哪些可以转发、哪些必须保密？这种语义层面的权限控制，目前还没有成熟的技术方案。

更尴尬的是，很多攻击向量在经典浏览器时代就被标记为"高危"，但AI浏览器为了功能流畅，主动选择复用这些通道。externally_connectable本身是Chrome的标准API，debugger权限也是开发工具常用功能——单独看都没问题，组合在一起就成了特洛伊木马。

开发者正在"拆东墙补西墙"

面对曝光，各家的应急反应耐人寻味。Perplexity被指出问题后，没有公开回应是否调整externally_connectable的白名单机制。OpenAI和微软则强调"持续监控异常行为"，但没有承诺架构层面的重构。

这种回应模式暴露了行业困境：AI浏览器的核心卖点就是"自主操作"，如果加太多人工确认步骤，体验就退回传统浏览器；如果完全放开，安全又不可控。

Brave浏览器的做法相对保守——Leo AI的权限被限制在特定场景，但代价是功能丰富度明显落后于竞品。用户用脚投票，压力最终还是会倒向"更激进"的设计。

Varonis研究人员在报告中提到一个细节：他们测试时使用的攻击代码并不复杂，很多是公开可用的XSS载荷稍作修改。这意味着攻击门槛极低，脚本小子（Script Kiddie）也能上手。

「这不是零日漏洞的军备竞赛，是设计层面的结构性风险。」研究团队的判断很直白——补丁可以打，但根子上的矛盾没解决。

用户能做什么？暂时不多

对普通用户来说，现在的选项很有限。关闭AI功能？那不如直接用Chrome。仔细审查每个AI操作？产品设计上就没给这个接口。等厂商更新？安全补丁的速度永远追不上攻击者的创意。

企业IT部门的处境更棘手。员工为了提高效率，大概率会自行安装这些浏览器。传统的上网行为管理工具，识别不了AI代理的异常操作——因为流量看起来完全合法。

一个可能的过渡方案是网络分段：把AI浏览器限制在特定虚拟机或容器里，敏感操作强制跳转到传统浏览器。但这需要额外的IT投入，且用户体验断崖式下跌。

安全厂商也在找机会。有初创公司开始推"AI代理防火墙"，专门检测提示词注入模式。但这类工具刚起步，误报率高，还没经过大规模实战检验。

这张图给我们的真正启示

回看Varonis那张攻击链图，最刺眼的不是技术细节，是箭头指向的终点——"Complete Browser Compromise"（完整浏览器沦陷）。在传统安全语境里，这需要多个漏洞组合利用；在AI浏览器场景下，一个XSS就够了。

这背后是控制权的转移。以前是人操作浏览器，浏览器访问网页；现在是AI代理夹在中间，它既代表用户决策，又直接连接网页内容。攻击者只需要骗过AI，就能绕过所有面向人类的防护机制。

更深远的影响在于信任模型的崩塌。我们习惯了"看到才相信"——链接可疑就不点，弹窗奇怪就不输密码。但AI浏览器让用户"无感"完成操作，攻击者也跟着隐身了。

Perplexity、OpenAI、微软、Brave这几家产品的竞争，短期内不会放缓。功能迭代的压力下，安全大概率继续让位。Varonis的研究像一张提前到货的账单：技术债欠得越多，未来要还的利息越惊人。

如果你已经在用Comet或Atlas，现在能做的只有一件事：检查浏览器扩展列表，确认哪些拥有"debugger"或类似高权限——然后问自己，是否值得为这个"智能"承担对应的"裸奔"风险。至少在目前，答案还不明朗。