瀏覽器上的擴充插件多年來都存在著惡意程式的隱患,即使來到AI的年代,惡意擴充插件可以詐騙Comet和Atlas瀏覽器上的AI側欄,攔截用戶的查詢並偽裝模型回應,盲目信任人工智能便會掉入陷阱。
AI瀏覽器的運作
在2023和2024年之間,人工智能開始改變在互聯網上搜尋的過程,同一時間首次出現了AI結合於網上搜索,初時是傳統瀏覽器(Microsoft Edge Copilot和Brave Leo)的附加功能,以AI側欄的形式出現,在瀏覽器介面加入內建助手去進行頁面摘要、回答問題和網站導航,直至2025年,這個概念衍生了Perplexity AI的Coment,也是第一款由底層開始設計用戶與AI互動的瀏覽器。這使人工智能成為Comet用戶介面的核心,而不僅僅是附加功能,它把瀏覽、分析和自動化工作整合到無縫體驗,在不久後,2025年10月OpenAI推出了自己的AI瀏覽器Atlas。
Comet的主要介面元素是螢幕中央的輸入欄,用戶透過它與人工智能互動,Altas也是一樣,此外,AI瀏覽器容許用戶與網頁上的人工智能互動,它們透過內建的側欄實現,用作分析內容和處理查詢,整個操作過程用戶無需離開該頁面,用戶能夠要求AI總結文章,解釋術語、比較資料或產生指令。這種程度的整合讓用戶習慣接受內置人工智能提供的答案和指令,助手無縫整合到用戶界面,感覺是系統的一部份,用戶很少停下來仔細核查它建議的操作。
研究人員展示的攻擊正是利用這種信任,偽造AI側欄發出假指令,誘導用戶執行惡意指令或前往釣魚網站。
研究員如何執行AI側欄詐騙攻擊?
攻擊由用戶安裝惡意擴充插件開始,為了達到邪惡的目標,它需要觀看和修改所有訪問網站的權限,以及存端資料儲存API的存取權限,全部都是頗為標準的權限,如果沒有第一個權限,沒有瀏覽器擴充插件能夠運作,所以當新擴充插件要求這些功能時,用戶都不會起疑。一經安裝,擴充插件在網充加入JavaScript並建立看似真實的假側欄,暫時都不會惹起用戶懷疑,當擴充插件功能收到查詢時,它會與合法的語言學習模型(LLM)溝通並如實顯示回應,研究人員在實驗中使用了Google Gemini,而OpenAI的ChatGPT也能達到相同的效果。
假側欄可以因應特定題目或潛在攻擊者預設的關鍵查詢選擇性地操縱回應,即是在大部份時間擴充插件都會顯示合法的AI回復,只有在特定場合會顯示惡意指令、連結或指令。以上劇本發生在真實世界的機率頗高,不少惡意擴充插件成功在Chrome Web Store上架。
AI側欄詐騙的後果
研究人員發現,AI側欄詐騙攻擊為潛在犯罪份子提供了大量的作惡機會,例如加密錢包的網絡釣魚、Google帳號盜竊和裝置騎劫等情況:
盜竊Binance登入憑證
用戶在AI側欄查詢如何出售他們在Binance加密貨幣交易所出售加密貨幣,AI助手提供詳細答案包括交易所的連結,但這連結並非指向真實Binance網站,而是一個像真的釣魚網站,使用假域名binacee,如果用戶不虞有詐輸入了Binance的登入憑證和雙重認證碼,攻擊者就能獲得受害者帳號的存取權並從他們的錢包中盜竊。
盜竊Google帳號
攻擊由釣魚連結開始,個案以假檔案分享服務作為示範,如果用戶點擊連結會被帶到真實的Google登入畫面,不過假平台會要求存取用戶的Google Drive和Gmail。如果用戶不以為然批准要求,攻擊者就能檢視受害者的電郵和設定、使用他們的Gmail帳號閱讀、創建和發送電郵,瀏覽及下載儲存在Google Drive上的檔案。
反向Shell攻擊
當用戶詢問AI如何安裝某應用程式,側欄向用戶顯示完全合理的AI產生的指引,所有步驟都可信和正確直至最後階段,安裝指令被反向shell指令所取代,如果用戶依照AI指示複製和貼上惡意程式碼並且執行,系統便會被入侵,攻擊者能夠從裝置下載資料、監察活動或安裝惡意程式繼續攻擊。
避免成為假AI側欄的受害者
AI側欄詐騙暫時只是在理論階段,但近年攻擊者迅速把理論轉化為實際攻擊,也很大機會有犯罪份子已在努力製作假AI側欄的惡意擴充插件,甚至是上載到官方商店,所以謹記即使是瀏覽器的介面都能夠被入侵非常重要,即使來自瀏覽器內建AI助手的指示看似可信,也不能夠盲目相信,以下是避免成為受害者的提示:
- 使用AI助手時,在執行前小心檢查所有指令和連結。
- 如果AI建議執行任何程式碼,複製並於在另一個非AI瀏覽器上透過搜索引擎檢查。
- 除非絕對有需要,不要安裝瀏覽器擴充插件,定期清除和删除不再使用的擴充插件。
- 在安裝擴充插件前,閱讀用戶的評語,大部份惡意擴充插件在被管理員刪除前,會先累積大量受害者的批評。
- 在輸入登入憑證或其他機密資料前,檢查網站地址是否可疑或含有錯字。
- 安裝可靠保案方案,警告可疑活動和防止訪問釣魚網站。
資料來源:Kaspersky Blog
