AI瀏覽器自主操作　恐成資安攻擊面最大破口

近年來，瀏覽器正快速融入人工智慧技術，催生出AI瀏覽器。其核心是在傳統瀏覽器中深度整合大型語言模型助手，能夠檢視網頁內容並執行使用者操作。多家科技領導廠商投入該領域，例如Perplexity推出專屬的Comet AI瀏覽器；OpenAI打造的ChatGPT Atlas；Google與Microsoft分別將Gemini、Copilot等生成式模型整合進Chrome與Edge；Mozilla同樣逐步將AI功能深植於Firefox。

從輔助到代理：AI瀏覽器開啟自主操作時代的來臨

AI瀏覽器不僅能回答問題或摘要文章，更進一步朝代理式AI（Agentic AI）方向發展，意味著AI助手可根據使用者高階指令自動執行連續操作，不再需要使用者逐步點擊確認。這種代理式能力帶來了使用體驗上的突破，例如使用者只須對AI助理下達「幫我預訂下個月飛往巴黎的最便宜航班」的指令，AI瀏覽器即可自主完成搜尋比價、填寫資料、預訂並付款等一系列動作，毋需人工干預。隨著功能日益強大，在享受這些便利之前，務必要全面評估其背後隱藏的資安風險與挑戰。

當AI變成攻擊武器：瀏覽器滲透實驗

對於AI瀏覽器的資安疑慮在近期已有明顯的升高，多家資安公司提出攻擊模擬案例，顯示出非常真實且高度風險的實驗結果。

案例一：隱蔽指令導致帳號接管

Brave瀏覽器團隊在針對Perplexity的Comet AI進行測試時，展示了隱蔽提示詞注入（Prompt Injection）攻擊的有效性。攻擊者將一段隱藏的惡意指令藏在Reddit貼文的評論中，當使用者點擊Comet的「摘要此頁面」功能時，AI助理無差別地處理了這段隱藏指令。該指令驅使AI助理連續執行多步驟跨站操作，包括進入Perplexity用戶資料頁取得用戶電子郵件、以該信箱嘗試登入並觸發OTP密碼傳送、再打開Gmail讀取該OTP，最後將郵件地址與OTP回傳至原Reddit貼文中。整個攻擊過程毋需受害者進一步操作，一旦攻擊者取得受害者的郵件與OTP，便可登入受害者的Perplexity帳號。即使網頁本身無惡意程式碼，透過對話內容對AI代理人「說話」也能達成傳統難以實現的跨網站入侵。

案例二：誘導AI跨站下單購物

資安公司Imperva展示了一個攻擊情境，攻擊者在釣魚網站中嵌入特殊提示詞，成功欺騙某AI瀏覽器代理人在使用者不知情下，利用使用者的已登入會話（Session）前往第三方購物網站。AI助理因為信任了假登入頁面裡的隱藏指令，自行跳轉到使用者已登入的購物平台，將預先選好的商品加入購物車，甚者可再利用儲存在瀏覽器的付款資訊與密碼執行購買。意即攻擊者可以利用AI助手的自動化能力與使用者既有的登入狀態，繞過針對傳統跨站攻擊的防護限制，在不同網站間發動未經授權的交易。

案例三：透過電子郵件誘導下載惡意檔案

近期的一項實驗成功欺騙Comet瀏覽器內建的AI助理下載惡意軟體到使用者電腦。攻擊者手法是向受害者的電子信箱發送一封偽裝成醫療報告的郵件，其中聲稱附有血液檢驗結果並提供下載連結，但需要點擊連結並完成網站驗證碼（CAPTCHA）才能下載。Comet的AI助理會自動讀取郵件內容，替使用者點擊連結嘗試下載報告；遇到CAPTCHA驗證時，AI被指引執行特殊任務來「解決」驗證，結果即是在未經使用者確認下，下載了一個實為惡意程式的檔案。

AI瀏覽器可能成為最大的攻擊面與黑盒子

AI瀏覽器引入了全新的風險與威脅，攻擊者可利用模型特性與自動化能力發動各類攻擊，從上述案例也可歸納出幾個主要面向。

面向一：AI助理成詐騙威脅與社交工程目標

AI代理人可被誘使代為下單或下載惡意檔案，衍生出影響層面更大的威脅，成為新的詐騙與社交工程目標。特別危險的原因包括代理式AI具有可試錯性、可學習性、可記憶能力，以及可調用工具（或武器）的能力。AI服務的語言介面容許試錯，攻擊者可自動化試探「有效提示」，而且試錯成本極低。一旦成功找出AI模型的個性或行為模式，將對採用同樣AI引擎服務與使用者都產生影響。而且，目前基於特徵方式的資安偵測機制，難以攔截這種結合自然語言與複雜行為的攻擊。過去以為只要保護好使用者的憑證與網站就足夠，但面對AI代理人的瀏覽行為，防禦必須進一步增加「保護AI本身的行為邊界」的新防護面向。

面向二：AI瀏覽器成敏感資料外洩的最大破口

AI瀏覽器需要存取並記住大量使用者內容，包括網頁內容、對話上下文、Cookie/Session等。若遭惡意利用，AI可能將這些隱私資訊洩漏給攻擊者或未經授權的第三方。例如，攻擊指令可能讓AI將機密資料從一個步驟帶到下一步並揭露出來，或者透過隱藏指令迫使AI瀏覽器讀取本地瀏覽器的機敏憑證，並發送到攻擊者控制的伺服器。此外，AI瀏覽器廠商本身也可能因蒐集大量用戶瀏覽內容而引發隱私疑慮，意味著所有瀏覽資料與檔案內容都有可能被傳回雲端進行模型訓練或分析。

面向三：AI瀏覽器的自動化權限濫用危機

具備高度自動化能力的AI助理實際上享有與使用者等同的系統與網路權限。如果缺乏嚴格的沙盒隔離與權限控管，一旦被劫持，AI可能淪為攻擊者的強大工具，在使用者裝置上執行惡意系統命令。如果一個未受信任的網頁對AI助理下達了隱蔽指令，AI可能會攜帶使用者已登入的身分在其他網站執行動作，造成跨站攻擊。此類行為類似傳統的跨站腳本（XSS）或跨站請求偽造（CSRF），但不需要植入惡意程式碼，只須透過內容影響AI的決策即可達到。

AI瀏覽器的未來是生產力革命？還是資安賭局？

AI瀏覽器的崛起不僅是一場技術革命，更是商機與風險的賭注。一方面，AI瀏覽器的智慧代理功能能夠在電商購物、客戶服務、研發協作、知識管理等場景中，顯著提升生產力與服務體驗。然而，這些機會同時伴隨著重大的資安隱憂。AI瀏覽器模糊了「使用者操作」與「AI代理操作」的界線，使得跨站交易、敏感資料存取與自動化決策都可能在未經使用者充分覺察下進行。一旦遭遇提示詞注入或社交工程攻擊，企業的客戶資料、供應鏈資訊甚至金融交易，都可能迅速暴露在威脅之中。因此，使用者務必謹慎授權AI代理人，而企業應將AI瀏覽器的安全防禦視為下一代資安策略的重點投入。

＜本文作者：朱南勳現任資策會MIC主任，專業於軟體與通訊產業研究，長期關注前瞻軟體應用與通訊技術發展趨勢。曾於緯創資通公司擔任產品經理、趨勢科技公司擔任市場競爭力研究員，負責新產品認證開發與國際電腦大廠專案，並曾任經濟部技術處5G辦公室副主任。資策會產業情報研究所（MIC）長期觀測高科技產業市場情報與發展趨勢，是臺灣資通訊產業與政府倚重的專業智庫。＞