AI 瀏覽器近年來被視為下一代網路應用的重大突破,主打能夠自動摘要網頁、預訂行程,甚至能代替用戶完成線上購物。然而,近期接連曝光的兩項重量級安全研究,狠狠戳破這股熱潮背後的安全神話。
美國華盛頓大學(University of Washington)最新研究針對市面上 7 款最受歡迎的 AI 瀏覽器與擴充功能進行測試,結果發現其中 4 款──ChatGPT Atlas、Chrome with Gemini、Claude for Chrome,以及 Perplexity Comet 存在嚴重安全漏洞,足以讓惡意網站竊取用戶在其他分頁中開啟的敏感資料。研究更點出一個諷刺的現實:瀏覽器的 AI 功能越強大,潛在的資安風險反而越高。
問題的根源在於,全球網路自 1995 年以來便嚴格沿用「同源政策」(Same-Origin Policy)。這項規則原本是為了防止不同網站之間互相讀取資料,確保用戶在一個分頁開啟網路銀行時,另一個分頁的惡意網站絕對無法存取其帳戶資訊。
然而,AI 瀏覽器為了實現「跨分頁執行複雜任務」的智慧功能,必須繞過此限制。這項大開方便之門的設計,正好成了攻擊者的致命切入點。研究人員識別出兩種主要的攻擊手法:
- 提示注入(Prompt Injection): 惡意網頁背後藏有隱密指令,誘使 AI 助理在不知情的情況下執行,進而洩露用戶的私人電子郵件、密碼或行事曆資訊。
- 記憶體投毒(Memory Poisoning): 駭客將惡意指令儲存於 AI 的記憶體中,即便用戶已經關閉原始網頁,該指令仍會在日後的使用過程中被觸發。研究人員已成功在 ChatGPT Atlas 上執行此概念驗證(PoC)攻擊。
此外,擴充功能「Claude for Chrome」因其架構設計允許直接向網頁注入程式碼,被研究團隊評為風險特別高的產品。
相較之下,Microsoft Edge with Copilot、Brave Leo及Firefox AI Mode在安全性方面表現較佳,但Firefox的功能也是七款中最為有限的。
BioShocking 攻擊:用「遊戲邏輯」洗腦,繞過 AI 安全限制
就在華盛頓大學的研究發布前夕,資安公司 LayerX 披露了另一項更為隱蔽的攻擊技術──「BioShocking」(名稱源自 2007 年經典電玩中角色認知遭操控的情節)。項手法更為隱蔽,攻擊者不正面破解防禦,而是透過設計謎題網頁讓 AI 瀏覽器「玩遊戲」,利用扭曲的邏輯(例如強迫 AI 接受 2+2=5 的錯誤前提)來顛覆 AI 的認知框架。一旦 AI 掉入陷阱,其底層的安全限制便會隨之失效,此時駭客就能指示 AI 執行竊取密碼管理器或複製 SSH 登入憑證等惡意操作。在 LayerX 的測試中,受測的 AI 助理全數未能識別出此行為已構成資安違規。
實測名單總整理
以下為兩大資安研究機構針對市面熱門 AI 瀏覽器的測試結果總結:
全面淪陷或具安全漏洞的名單
- ChatGPT Atlas、Perplexity Comet、Claude for Chrome:兩大機構一致判定存有嚴重安全漏洞,皆無法阻止資料遭竊與認知操弄(其中 Claude 擴充功能因架構設計被評為風險極高)。
- Google Chrome(整合 Gemini):華盛頓大學測試證實存有跨站資安漏洞。
- Fellou、Genspark、Sigma:LayerX 測試證實無法防禦 BioShocking 攻擊,皆淪為個資竊取目標。
資安防禦表現較佳的名單
- Microsoft Edge(整合 Copilot)、Brave Leo:在實測中展現出較健全的資安防禦,安全表現相對較佳。
- Firefox AI Mode:暴露風險為所有受測產品中最低(備註:因其 AI 功能最為受限,故受到攻擊的機會也相對最少)。
各大科技廠商回應分歧
面對接連曝光的資安漏洞,各家廠商的修補態度出現了明顯的兩極化落差。
在積極合作與修補方面,Google、微軟(Microsoft)與 Brave 展現出負責的態度,目前已與華盛頓大學研究人員展開建設性合作。同時,OpenAI 據報也已在 ChatGPT Atlas 中實施了針對 BioShocking 攻擊的必要防禦措施。
然而,部分廠商則選擇消極應對或不予回應。針對華盛頓大學揭露的漏洞,Perplexity 與 OpenAI 皆以研究團隊未能展示完整的端對端(end-to-end)攻擊示範為由,拒絕採取修正行動。更甚者,Perplexity 在面對 BioShocking 漏洞時,竟在未提供任何解決方案的情況下,直接關閉了問題回報。另一方面,Anthropic 雖然為 Claude 外掛發布了修補程式,但仍未能完全解決問題,且對於華盛頓大學的研究未予理會。至於 Firefox 則是對此保持沉默,至今尚未做出任何官方聲明。
AI 瀏覽器的核心困境與用戶自保建議
這兩項研究共同指向了 AI 瀏覽器與生俱來的矛盾:傳統瀏覽器歷經數十年的發展,建立了同源政策、沙盒隔離等嚴密高牆來防止資料互通;但 AI 瀏覽器為了實現「跨網頁智慧操作」,卻刻意賦予 AI 閱讀用戶一切隱私的權限。在這類新型系統中,任何文字都可能成為駭客指令,任何惡意評論都可能構成攻擊。
資安專家與研究人員針對開發商與一般用戶,提出了以下具體建議:
給開發商的資安建議
- 加入二次確認:在 AI 試圖存取電子郵件、程式碼庫或密碼管理器等高敏感已驗證資料前,必須強制跳出用戶確認提示。
- 整合情境檢查機制:開發能識別「AI 正試圖被說服、洗腦去繞過安全規則」的情境偵測技術。
給一般用戶的自保指南
- 嚴格控管權限:謹慎監控並限制 AI 助理的存取範圍。
- 用完即登出:在啟動 AI 助理服務前,建議先關閉或登出不必要的敏感帳戶(如網銀、私密信箱)。
- 定期撤銷授權:養成習慣,在使用完 AI 代理功能後,立刻撤銷其相關的網站存取權限。
目前的種種研究顯示,AI 瀏覽器的技術狂奔速度,顯然已經遠遠把底層的安全防護能力拋在後頭。消費者在享受便利的同時,必須提高資安警覺。
- Yet another research breaks the hype bubble for AI browsers serving serious security flaws
- ChatGPT and Claude browsers hand over passwords when AI thinks 2+2 equals 5
- Agentic AI gets a trust mark. Does it mean anything?
(首圖來源:shutterstock)






