自动被骗？AI浏览器的下一个赛道是网络安全

AI浏览器/AI智能体代表的是一种“生活自动化”的愿景，但现实中AI浏览器对网络诈骗毫无抵抗力，在安全方面还处于婴儿期。

在生成式AI从“工具”向“代理/智能体”演进的浪潮中，一个新的安全隐患正悄然浮现——agentic AI浏览器（代理式AI浏览器），正在成为黑客的新目标。而我们还未做好防御准备。

如果说ChatGPT代表了“对话式AI”的崛起，那么Perplexity推出的Comet则是另一条正在成型的路径——自主执行任务的AI浏览器。这种浏览器不再只是提供信息，而是能帮你完成实际操作：收邮件、订机票、网购商品、填表格、登录账户……堪称是“AI托管式生活”的接口。

Comet是目前代表性的agentic AI浏览器产品。与此同时，微软也在将类似功能内嵌至Edge，并通过Copilot功能与之结合，而OpenAI内部也正开发代号为 Aura的类似平台。

但Guardio的安全研究团队用几组真实测试，给这场AI浏览器革命泼了一盆冷水——它可能比你想象的更容易被恶意操控，对网络诈骗毫无抵抗能力。

研究人员搭建了一个假冒的沃尔玛网站，通过Lovable服务仿造出外观几可乱真的界面。然后他们向Comet发出指令：去买一块Apple Watch。

Comet并未验证网站真伪，直接扫描页面、选中商品、填写信用卡信息与地址，并完成结账，全程未进行任何安全确认或人机交互。

这还不是最可怕的部分。实验中是研究人员“主动”引导Comet去钓鱼网站，但在真实世界里，只需简单的SEO投毒或广告注入（malvertising），AI浏览器自己就可能自投罗网。

Guardio伪造了一封来自“Wells Fargo”的银行邮件，实则是一个由 ProtonMail发出的钓鱼信息，内嵌了一个假登录页链接。

Comet收到邮件后，视其为银行指令，点击链接、加载页面，并自动提示用户输入银行凭据，毫无风险识别能力。

换句话说，在这种AI模式中，攻击者只需操控内容本身，即可实现 “指挥AI帮你骗用户”的新路径。

第三项实验更具象征意义：Guardio在一个假的验证码页面源码中隐藏了一段 prompt injection指令（下图）。

Comet在加载页面时误将其解析为合法命令，自动点击“验证码”按钮，实则触发了一个恶意文件的下载——这类攻击完全绕过人类输入环节，针对AI本体发动攻击。

Guardio的报告指出，相比传统“钓鱼一人一个套路”，AI浏览器的出现带来了新的攻击逻辑：“只要骗过一个模型，就能骗过所有用户”。

攻击者甚至可以训练自己的AI与目标浏览器“对战”，不断试错优化攻击链，直到完美骗过目标AI。AIvs.AI的对抗时代已经来临。

目前，这类AI浏览器仍处在早期阶段，用户大多为技术爱好者和早期采用者。但 Comet为代表的AI浏览器/AI智能体正迅速进入主流市场，意味着我们正将“数字主权”交给一个可能被操纵的代理人。

Guardio建议：

• 不要将银行、购物、邮件等敏感操作完全交由AI浏览器处理；

• 不要直接给AI提供信用卡、密码等敏感数据，手动输入可以作为最后一道确认；

• AI浏览器功能若未具备完备的验证机制，切勿托付“真实生活”的任务执行。

AI浏览器/AI智能体代表的是一种“生活自动化”的愿景，但在安全层面却还处于婴儿期。

当我们把生活交给AI处理的那一刻，谁来防止AI被劫持？如果浏览器变成了“主动执行诈骗的帮凶”，那我们面对的将不再是一个个孤立的骗局，而是可规模化复制的AI攻击网络。

与其说这是一场浏览器革命，不如说是下一轮AI安全竞赛的起点。

参考链接：

https://guard.io/labs/scamlexity-we-put-agentic-ai-browsers-to-the-test-they-clicked-they-paid-they-failed