文章总结： 研究人员发现PerplexityComet浏览器存在严重安全漏洞，攻击者可通过恶意日历邀请诱导AI智能体访问用户本地文件系统，甚至劫持已解锁的1Password账户。该漏洞源于AI浏览器未能有效隔离跨源请求，属于间接提示注入攻击。Perplexity已于2026年1-2月发布两次修复补丁，建议用户警惕非可信日历事件并启用密码管理器双重认证。 综合评分： 85 文章分类： 漏洞分析,AI安全,应用安全,威胁情报,安全意识

直到上个月，攻击者只需发送一个日历邀请，就能窃取Perplexity Comet用户的信息

原创

siliconangle siliconangle

安全行者老霍

2026年4月1日 09:00 美国

作者：Thomas Claburn

发布时间：2026年3月3日

AI浏览器智能体导致本地文件完全暴露。

如果你想窃取使用Perplexity Comet浏览器的用户的本地文件，直到上个月，你只需向受害者发送一个日历事件，就能计划好这次行动。

如果受害者的1Password保险箱未启用双因素认证，你甚至可能直接访问其内容。

去年10月，Zenity Labs旗下的一组安全研究人员发现，Perplexity的AI浏览器Comet未能对用户的本地文件系统进行有效保护。

“我们发现了两个问题，”Zenity首席技术官Michael Bargury在接受《The Register》采访时解释道，“其中一个问题是，Perplexity对AI智能体访问文件系统中的任何内容没有限制。”

Bargury告诉我们，该浏览器能够访问file://协议，这意味着它可以访问用户本地机器上的文件。

“通常情况下，以JavaScript应用为例，当你访问网站时，由于跨源限制，JavaScript应用无法直接查询你机器上的URL。但AI浏览器并未严格遵守跨源限制。”

Bargury表示，攻击者可以指示Perplexity的Comet在未经用户许可且不通知用户的情况下访问文件。

为此，攻击者只需制作一份恶意的日历活动邀请，并嵌入指令以窃取受害者设备上的数据。

“我们唯一需要的是用户与日历邀请或我们的日历进行任何形式的交互，”巴格里表示，并补充道，人们通常会与日历邀请进行交互，因此这不像需要说服他人访问恶意网站的社会工程学攻击。

“其次，我们证明了一旦 1Password 扩展程序安装在 Comet 浏览器中并解锁，我们实际上可以指令 Comet 访问该扩展程序的 URL，进而劫持您的 1Password 账户–完全接管您的 1Password 账户，这是最糟糕的情况，”Bargury说道。

此次攻击并非源于1Password自身的安全漏洞，因为该产品在设计上本就旨在防范外部攻击者–尽管其并未针对通过Comet浏览器在已认证用户会话内操作的攻击者建立防护机制。

这两个漏洞都是间接提示注入的典型案例，这是AI智能体（即用户授权使用各种工具的AI模型）长期存在且尚未解决的问题。AI智能体难以区分系统指令和不可信内容。因此，当它们遇到指示其采取行动的内容时，可能会将其解读为命令。

“将此视为‘说服’而非‘提示注入’更为准确，因为‘注入’是一个非常技术性的术语，”Bargury表示。“这不仅仅是个技术问题–你只需与它对话，并说服它相信你真正需要的是执行某些恶意操作。AI浏览器尤其成问题，因为它们使得将恶意数据植入AI的上下文中变得轻而易举。“用户在互联网上与之交互的任何内容，都会被输入到大语言模型（LLM）的上下文中。因此，攻击面极其庞大。”

Zenity的研究人员将他们的提示注入攻击植入了一个Google日历事件（即Google Meet邀请）。初始文本与预期内容一致–姓名、角色、会议时间等–随后添加了大量换行符，使后续文本在有限的预览窗口中不可见，接着是指向某个网站的按钮HTML代码，该网站上写有操作指南。这些指南使用希伯来语，因为研究人员发现，非英语语言更容易绕过旨在防范此类攻击的安全防护措施。

研究人员发现，攻击者可诱使 Comet 打开链接、打开文件，并执行网站中嵌入的指令。当用户点击日历邀请中提到的按钮时，浏览器代理会被重定向至用户的本地文件系统。

另一家安全公司 LayerX 也提出了类似担忧，指出 Claude Desktop Extensions 容易通过日历事件条目遭到操控。

Bargury表示，Zenity的研究人员是首批将日历条目识别为攻击面的团队，他们在去年8月关于ChatGPT Enterprise和Gemini的Black Hat演讲中提出了这一观点。但其他持相同观点的漏洞猎手也发现了AI软件处理日历条目方式中的缺陷。

Perplexity未回应置评请求。

据Bargury称，研究人员于2025年10月22日向Perplexity通报了该漏洞，该公司于2026年1月23日实施了修复。但修复效果并不持久–Zenity发现，通过使用前缀 view-source:file:///Users/，他们能够绕过该修复。2026年2月13日发布的第二个补丁似乎终结了这一特定的攻击途径。

Zenity报告称，1Password已于1月底发布安全公告，并采取措施增加了安全强化选项。

“我想我们从一开始就明白AI浏览器存在风险，但AI本身就具有风险，当然我们还是得使用AI，对吧？”Bargury表示。“AI浏览器受到了大量审查。Gartner也发布了一份关于它们的报告。业界对此进行了大量研究。我认为我们目前所缺的只是展示其影响。人们需要意识到它们带来的风险，才能安全地使用它们，才能采取相应的缓解措施，了解自身面临的风险，明确最佳的应对方案，并为组织决定未来的行动方向。”

https://www.theregister.com/2026/03/03/perplexity_comet_browser_hole_cal_invite

（完）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 siliconangle siliconangle《直到上个月，攻击者只需发送一个日历邀请，就能窃取Perplexity Comet用户的信息》