
AI 瀏覽器權限太闊先危險:用 Comet、Dia、Edge Copilot 要點自保
研究唔係叫你即刻棄用,而係要收窄 agent 睇到同做到嘅嘢
先講清楚:呢次唔係一般瀏覽器 bug
TechNews 科技新報報道,華盛頓大學同 LayerX 最近都揭到 AI 瀏覽器風險。件事值得睇,唔係因為某個按鈕又爆洞,而係 AI 瀏覽器本身就坐正喺最敏感嘅位置:佢睇到網頁內容,又可能用住你已登入嘅帳戶,仲可以幫你撳掣、填表、訂嘢。傳統瀏覽器靠同源政策隔開網站,AI agent 一加入,條界線就冇以前咁硬。

圖片:University of Washington
權限闊過你以為
華盛頓大學嗰份研究測咗七款 agentic browser 或 AI 瀏覽器功能,包括 ChatGPT Atlas、Chrome with Gemini、Claude for Chrome、Perplexity Comet、Microsoft Edge with Copilot、Brave Leo 同 Firefox AI Mode。研究員示範咗 ChatGPT Atlas Agent Mode 嘅完整概念驗證攻擊,亦話 Chrome with Gemini、Claude for Chrome 同 Comet 存在跨來源攻擊前置條件;Edge、Brave、Firefox 因為功能較收斂,風險相對低啲,但代價就係 agent 做到嘅嘢少啲。
重點係,呢份研究做喺 2026 年 1 至 2 月,研究員亦講明冇用真實用家資料,所以唔好讀成「已經有大規模攻擊」。但安全模型嘅問題好清楚:只要 agent 同時見到可信內容同唔可信內容,又有權代你操作網頁,惡意網站入面嘅隱藏 prompt 就有機會變成指令。瀏覽器保護你咁多年嘅隔離牆,去到 AI 代理面前,變咗要靠模型識唔識拒絕。

圖片:LayerX
BioShocking 話明咗登入狀態先係雷區
LayerX 嗰個 BioShocking PoC 更似一個警號。研究員用一個遊戲式頁面,令 AI agent 接受「錯答案先啱」呢類假規則,之後引導 agent 喺受控環境讀取已登入 GitHub repo 入面嘅 SSH credential。LayerX 話測過 ChatGPT Atlas、Comet、Fellou、Genspark Browser、Sigma Browser 同 Claude Chrome plugin,六個都冇攔到最後一步;截至 LayerX 6 月 29 日發文時,OpenAI 標示為已修補,Perplexity 係 closed / ignored,Anthropic 嘅 Chrome plugin patch 仍未完全解決。
呢度唔係話「2+2=5」有咩魔法,而係 agent 太容易將頁面內容當成任務規則。人睇到古怪網頁,通常會停一停;agent 可能會繼續完成任務,仲以為自己做得好。最危險嘅位就係登入狀態:email、calendar、cloud drive、GitHub、公司 SaaS、網上銀行、信用卡同 password manager,只要同一個 profile 入面開住,AI agent 一旦有權睇同操作,攻擊面就大好多。
Comet、Dia、Arc Max、Edge Copilot 要分開睇
唔同工具風險唔同。Arc Max 官方頁講到佢係 opt-in 功能,主打 Ask ChatGPT、link preview、tab 同 download 改名,呢類功能未必等同完整 agent;但如果佢會讀而家頁面內容,又同你嘅 profile 綁埋,就唔應該同公司 admin、網上銀行、password manager 放埋同一個瀏覽器 profile。Dia 嘅安全頁就列明多層限制,例如唔自動跟 LLM 產生嘅 URL、寫入第三方網站前要你批、不可逆操作要留做 draft,同埋 password field 對 agent 不可見;不過 Dia 亦承認 prompt injection 仍然可能影響語氣、內容判斷或者觸發非預期查詢。
Edge Copilot 反而講得好直接。Microsoft 支援頁寫明 Browse with Copilot 可以喺瀏覽器入面選取、輸入同瀏覽,亦承認功能屬實驗性,可能誤解指令或者受網頁隱藏指令影響。佢有 Light、Balanced、Strict 三種權限級別,亦有 allow list / block list;真係要用,Strict 或至少 Balanced 先合理,批權限時用 Allow once,唔好貪方便 Always allow。Comet 呢類比較進取嘅 AI 瀏覽器,就當佢有機會用到你已登入嘅 session,開工前先用乾淨 profile。
我會咁樣設定
第一步:開獨立 profile。 AI 瀏覽器同主力瀏覽器分開,唔好喺同一個 profile 入面長期登入 email、公司 SaaS、雲端硬碟、網上銀行、交易平台同 password manager。要 agent 幫你格價、搵酒店、整理資料,可以用一個冇敏感 cookie 嘅 profile;真係要登入購物網站,任務做完就登出同清 cookie。
第二步:預設用最窄權限。 Atlas 有 logged-out mode 就用 logged-out mode;Edge 用 Strict,同時將高風險網站放入 block list;Dia 入 Settings 檢查 Memory 同 Share content data,唔用就關;Arc Max 逐個功能開,唔好一次過全開。AI agent 嘅權限應該好似 app permission,唔係裝咗就任佢行全屋。
第三步:高風險動作自己收尾。 買機票、訂酒店、網購付款、轉帳、發 email、刪 calendar、改公司設定,AI 可以幫你搵資料同草擬,但最後登入、付款、send、delete 交返自己。OTP 同 email 驗證唔係保命符,Brave 對 Comet 嘅示範就係用已登入 Gmail 讀 OTP 呢條路線,所以「有 2FA」唔代表 agent 安全。
公司 IT 亦唔應該當 AI 瀏覽器只係另一個 productivity tool。佢更似一個有用家權限嘅新入口,要有 profile 隔離、URL allow list / block list、DLP、extension 管理,同埋清楚規則:客戶資料、repo secret、財務系統同 admin panel 唔畀 agent mode 接觸。AI 瀏覽器唔係唔用得,但最好只畀佢處理低權限、可復原、唔涉及錢同機密嘅任務。之後要睇各家會唔會將權限、確認同隔離改成預設設定,唔好要用家自己逐樣估。
參考來源
- TechNews 科技新報 — 熱門 AI 瀏覽器爆重大資安漏洞,專家授三招自保 — original report
- Agentic Browsers and the Same-Origin Policy — 華盛頓大學研究原文,確認測試產品、PoC 範圍、同源政策風險同披露狀態。
- BioShocking AI: Gaming the AI Browser and Escaping its Guardrails — LayerX 原始披露,確認 BioShocking PoC、受測工具、廠商回應同用家建議。
- Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet — Brave 對 Comet 嘅研究,補充間接 prompt injection、OTP 路線同隔離 agentic browsing 嘅建議。
- Browse with Copilot — Microsoft 官方支援頁,確認 Edge Copilot 權限級別、cookie / tab 存取同風險提示。
- Dia Browser Security — Dia 官方安全頁,確認 Memory、content sharing、prompt injection 限制同 agent 操作邊界。
- Arc Max – Browse the web with AI — Arc Max 官方產品頁,確認 Max 係 opt-in 功能同主要 AI 功能範圍。
- Understanding prompt injections: a frontier security challenge — OpenAI 官方解釋 prompt injection,同 Atlas logged-out mode、確認敏感操作等用家控制。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







