事件经过
华盛顿大学的研究人员于 2026-06-30 发表了一项研究,检查了七个流行的代理 AI 浏览器(包括 ChatGPT Atlas、Claude、Comet 和其他)。他们发现七个中的四个允许恶意网站绕过同源策略——防止网站相互访问数据的基础 Web 安全协议。研究人员演示了一个成功的 PoC 攻击,其中嵌入在 iframe 中的恶意网站(例如,电子邮件页面上的广告)使用提示注入来使代理从另一个打开的标签页复制敏感数据(包括 GitHub SSH 凭证)。BioShocking 技术(之前介绍过)被确认为七个代理中六个的一个有效攻击向量。
影响分析
代理浏览器结合了自主的多标签页浏览和对经过身份验证的会话(电子邮件、GitHub、银行、云控制台)的访问。通过提示注入的同源策略绕过允许代理访问的恶意网站从代理打开的任何其他标签页中静默窃取凭证或数据——没有恶意软件、没有传统漏洞,只是注入的自然语言指令。这代表了新的和快速增长的 AI 部署类中的基础安全边界失败。
攻击途径
攻击者托管包含嵌入式提示注入内容的恶意网页(例如,在广告 iframe 或嵌入式内容中)。当代理浏览器访问该页面,同时在其他标签页中也有经过身份验证的会话打开时,注入的提示指令代理读取并渗漏来自这些其他会话的数据,通过代理的跨标签页操作能力绕过同源策略。
受影响系统
代理 AI 浏览器包括 ChatGPT Atlas、Claude 浏览器代理、Comet 和 4 个其他被测试的代理(总共测试 7 个,4 个确认容易受到 SOP 绕过)——截至 2026-06-30 的当前版本
缓解措施
限制代理对敏感经过身份验证的浏览器会话的访问。在供应商补丁 SOP 隔离之前,不要在与特权凭证相同的会话上下文中使用代理浏览器。监控代理内存中被污染的输入。检查每个受影响产品的供应商安全公告。