Simon Willison (搞鹈鹕测试的那个人)刚发了篇博客,介绍智能体浏览器的安全问题。现在问题还是蛮多的。
--------------------
"智能体浏览器的安全问题:Perplexity Comet 中的间接提示词注入
Brave 的安全团队研究了 Perplexity 推出的、由大语言模型(LLM)驱动的“智能体浏览器”扩展 Comet,并且毫不意外地发现了可以“让卡车通过”的巨大安全漏洞。
🌟当用户要求它“总结这个网页”时,Comet 会将一部分网页内容直接输入给其 LLM,而没有区分用户的指令和来自网页的不可信内容。这使得攻击者可以嵌入“间接提示词注入”(indirect prompt injection)的攻击载荷,而人工智能会将其作为命令来执行。例如,攻击者可以通过在另一个标签页的页面中预设一段文本,来获取用户的电子邮件。
比如,当用户打开一个包含恶意内容的 Reddit 帖子并让 Comet 总结时,帖子中的恶意指令就可以欺骗 Comet 访问另一个标签页,提取用户的电子邮件地址,然后执行各种操作,例如触发账户恢复流程,并从已登录的 Gmail 会话中抓取恢复代码。
Perplexity 曾试图修复 Brave 报告的这些问题……但 Brave 帖子的后续更新确认,这些修复措施后来被攻破,漏洞依然存在。
事情的棘手之处在于:Brave 自己也在开发一个名为 Leo 的智能体浏览器功能。Brave 的安全团队将以下描述为针对 Comet 问题的“潜在缓解措施”:浏览器在将用户指令和网站内容作为上下文发送给模型时,应明确区分两者。网页内容应始终被视为不可信的。
要是真有那么简单就好了!这正是我们近三年来一直在讨论的“提示词注入”问题的核心——对于 LLM 来说,可信的指令和不可信的内容被连接成同一个 token 流,而至今为止(尽管有过许多尝试),还没有人能展示出一种令人信服且有效的方法来区分这两者。
这有点“五十步笑百步”的意味——我强烈怀疑,智能体浏览器扩展这一整个概念都存在致命缺陷,无法被安全地构建出来。
不过有一个好消息:在 Hacker News 上关于这个问题的讨论中,几乎所有参与者都已经理解了这个问题有多严重,以及为什么所提出的解决方案不太可能奏效。这是一个新的变化:我过去习惯于看到人们误判和低估这个问题的严重性,但现在看来,这股风潮终于开始转变了。"
