你是不是對你的AI瀏覽器太過信任了？ SquareX的研究人員最近的一項發現引發了人們對Comet AI瀏覽器的嚴重網路安全疑慮。他們發現了一個隱藏的API，惡意瀏覽器擴充功能可能利用該API完全控制你的裝置。這不僅是追蹤cookie的問題，而是關乎系統級的完全存取權限。

## 隱藏的危險：失控的API

SquareX發現，與傳統瀏覽器不同，Comet AI瀏覽器使用了名為MCP API的功能。此API允許嵌入式擴充功能在未經使用者明確許可的情況下存取設備資源並執行命令。你可以把它想像成一個繞過所有常規安全檢查的秘密後門。通常情況下，像Chrome、Safari和Firefox這樣的瀏覽器都需要使用者授權才能存取本機系統。而Comet的做法卻打破了這個規則，使用戶面臨巨大的風險。

問題在於：Comet本身的文件雖然暗示了該功能的存在，但卻沒有提及這些嵌入式擴充功能可以持續存取MCP API，或者可以靜默啟動應用程式。缺乏透明度和控制權使用戶容易受到攻擊，因為他們不清楚自己被授予的權限範圍。

## 示範：WannaCry 攻擊

為了展現其嚴重性，SquareX 展示了一個偽裝成 Comet 內建分析擴充的惡意擴充。這個虛假擴充將一段腳本注入看似無害的頁面，從而觸發 Agentic 擴充功能在目標裝置上執行臭名昭著的 WannaCry 勒索軟體。這表明利用此漏洞可能造成實際危害。

更令人擔憂的是，這些內建擴充隱藏在 Comet 的擴展控制面板中，使用者無法停用甚至監控它們。

## 您應該怎麼做？

SquareX 敦促 AI 瀏覽器開發者優先考慮安全性。他們建議公開所有 API，將平台提交給第三方進行安全審計，並允許用戶停用這些內建擴充。缺乏透明度和使用者控制權是一個重大問題，因此越來越依賴 Perplexity 的安全實踐。

這項發現有力地提醒我們，新技術，尤其是人工智慧工具，往往伴隨著難以預料的安全風險。務必保持警惕，謹慎授予權限，並要求軟體供應商提供透明的資訊。您的網路安全取決於此。