隐私新闻

使用 Comet 浏览器前请三思:安全和隐私风险

Perplexity Comet 浏览器正在重新定义用户的网络搜索方式,但 Perplexity AI 并不像人们想象的那样安全。它有许多危险信号:从广泛访问你的数据,到允许人工智能遵循恶意指令的安全漏洞。让我们深入了解它!

Perplexity Comet browser is not safe: It has security flaws making it vulnerable to prompt injection and CometJacking attacks which is a risk for your privacy.

2025 年 10 月初,Perplexity 的 Comet 人工智能浏览器开始免费使用。该代理浏览器旨在成为一个智能帮手,代表你执行任务和浏览网页。例如,在你浏览网页时,人工智能可以帮你预订机票、撰写电子邮件或规划旅行路线。但 Perplexity AI 真的安全吗?虽然 Perplexity 的 Comet 似乎对用户很有吸引力,但它存在严重的隐私和安全问题。LayerX 警告说,Comet 浏览器很容易受到 CometJacking 攻击。再仔细一看,这款人工智能浏览器也是数据隐私的噩梦。今天,我们将深入探讨 AI 浏览器的安全漏洞、数据隐私风险,以及为什么要避免使用 Perplexity Comet。

Perplexity 的代理浏览器 Comet 存在安全漏洞

LayerX 安全研究人员发现它容易受到 CometJacking 的攻击

Screenshot of tweet by The Hacker News on X: New "CometJacking" turns Perplexity's Comet into an insider threat. Screenshot of tweet by The Hacker News on X: New "CometJacking" turns Perplexity's Comet into an insider threat. CometJacking 将 Perplexity 的 Comet 变成了一种内部威胁。截图:X 上的黑客新闻

LayerX的研究表明,攻击者如何通过点击恶意 URL 在 Comet 中实施CometJacking 攻击

他们在研究中发现,一个没有恶意页面内容的恶意 URL 就能让攻击者访问 Comet 浏览器中暴露的敏感数据。 在 CometJacking 攻击中,当恶意链接被点击时,隐藏在 URL 中的命令会指示 Comet AI 访问用户内存,并在将数据发送到攻击者的服务器之前使用 base64 对其进行编码。

例如,如果用户要求 Comet 编辑电子邮件或安排日历约会,元数据就会外泄给攻击者。令人担忧的是,用户只需点击通过电子邮件发送或显示在网页上的恶意链接,攻击就会发生。

如果你有兴趣了解攻击是如何发生的,可以查看YouTube 上的 LayerX 概念验证攻击

由于人工智能代理在经过身份验证的会话中以用户的全部权限执行任务和操作,这些攻击可能会带来可怕的后果。想想看:人工智能代理可以执行预订机票、编写和发送电子邮件以及从亚马逊订购等任务。因此,如果你点击了一个被武器化的链接,后果将不堪设想。在你毫不知情的情况下,它可能会将你的敏感 Comet 数据暴露给攻击者,而攻击者可以提取并外流这些数据。

LayerX 于 2025 年 8 月 27 日报告了其发现,但 Perplexity 将其归类为 “无安全影响”。

Turn ON Privacy in one click.

这是避免使用 Comet 的更多理由:数据和隐私风险

当你使用 Perplexity Comet 时,你的隐私所面临的两个最大风险是它对你数据的广泛访问,以及已发现的安全漏洞如何导致数据暴露或访问。当你允许人工智能访问你使用的服务时,你的隐私就会受到威胁,但在使用彗星时,由于其安全漏洞,风险会进一步加剧。

例如,如果您允许 Perplexity 的 Comet 浏览器访问您的电子邮件,您的邮箱就不再是私人的了。如果您使用人工智能电子邮件撰写器,情况也是如此。代理浏览器需要访问您的账户和服务,才能执行发送电子邮件和购买产品等任务。鉴于人工智能浏览器需要广泛的访问权限,彗星浏览器必须具备强大的安全性,但这恰恰是这款新工具的不足之处。彗星浏览器使用不安全。

Perplexity Comet 还大张旗鼓地计划收集用户数据,其首席执行官甚至都不打算隐瞒:

这也是我们想开发浏览器的原因之一,因为我们想在应用程序之外获取数据,以便更好地了解你。

我们计划利用所有的上下文来建立一个更好的用户档案,也许你知道,通过我们的发现源,我们可以在那里展示一些广告”。

这是 Perplexity 首席执行官阿拉温德-斯里尼瓦斯(Aravind Srinivas)在接受TBPN 播客采访时说的。在采访中,斯里尼瓦斯承认,该公司之所以要从人工智能领域拓展到浏览器领域,是为了收集用户在其应用程序之外所做的一切的用户数据,以便销售有针对性的广告。如果这种商业模式听起来很熟悉,那是因为它与谷歌的 Chrome 浏览器的商业模式类似—提供免费服务、跟踪用户、出售用户数据,并向他们投放个性化广告

Turn ON Privacy in one click.

从其他大型科技浏览器收集和处理用户数据的方式来看,斯里尼瓦斯表示Perplexity公司想创建一个收集更多数据的浏览器也就不足为奇了。但是,旨在了解你的想法和你在每个网站上的行为的代理浏览器彗星(Comet)却因其安全缺陷而将你的数据置于危险之中。

更令人担忧的是,Perplexity 并没有止步于收集 Comet 浏览器之外的用户数据—它还想要更多。2025年8月,Perplexity人工智能公司在谷歌反垄断诉讼期间出价345亿美元收购谷歌Chrome浏览器,当时美国司法部指控谷歌是搜索领域的垄断者。当时,Perplexity的一位发言人告诉 BBC,Perplexity 想要收购谷歌的 Chrome 浏览器,并表示拟议的收购标志着 “对开放网络、用户选择和每个选择 Chrome 浏览器的人的连续性的重要承诺。“但鉴于其首席执行官对其商业策略的无耻坦诚,更让人相信的是,这家人工智能公司收购 Chrome 浏览器的原因只有一个:获取用户数据,这是每个人工智能公司的金矿。

最后的想法坚持你所知道的

是的,人工智能是一种新的炒作手段,而且可能很有用,但与此同时,你需要问问自己,是否真的值得拥有一款人工智能浏览器,因为它可能会因为你点击了恶意链接或人工智能中计而暴露你的个人数据或劫持你的账户。

对于我们 Tuta 来说,答案是否定的。

如果您正在寻找一款安全的浏览器,请点击这里查看我们的指南

手机屏幕上带有 Tuta 徽标的插图,手机旁边是一个放大的盾牌,盾牌上有一个复选标记,象征着 Tuta 加密技术的高度安全性。