2025 年 8 月发布的 USENIX 安全研讨会研究显示,流行的 AI 浏览器扩展会收集敏感的用户数据,包括医疗记录、银行信息、社会安全号码和社交媒体活动。来自伦敦大学学院、雷焦卡拉布里亚地中海大学和加州大学戴维斯分校的研究人员进行了这项分析。调查结果强调了人工智能辅助网络浏览器中存在的隐私风险,自 2025 年推出以来,这些风险一直受到关注。
OpenAI 的 Atlas 和 Perplexity 的 Comet 等人工智能辅助浏览器提供网站摘要、精细搜索、聊天机器人和自主任务执行等功能。这些工具挑战了成熟的浏览器,包括占据全球 70% 市场份额的 Google Chrome、Safari、Edge 和 Firefox。其他参与者包括 Opera Neon、Dai 和 ChatGPT 集成。麦肯锡公司公司预测,到 2028 年,浏览器行业将产生 7500 亿美元的收入。
人工智能浏览器通过持续的聊天机器人发挥作用,该聊天机器人分析打开的网页和处理表格填写、亚马逊购物或论文编辑等任务的代理模式。 They process webpage content alongside prior requests, search histories, and interactions without user instructions.浏览器扩展充当 OpenAI 的 ChatGPT、Google 的 Gemini 和 Meta 的 Llama 等模型的接口。扩展通过后台服务工作者将内容脚本注入网页,从而实现自主数据抓取。这与基于网络的聊天机器人不同,后者仅处理用户输入的数据。
USENIX 研究的重点是浏览器扩展而不是完整的浏览器,因为 Atlas 和 Comet 等领先者在研究完成后推出了这一研究。检查的扩展包括 Google、Sider、Monica、Merlin、MaxAI、Perplexity、HARPA、TinaMind 和 Microsoft Copilot 的 ChatGPT。研究人员模拟了私人和公共环境中的浏览:阅读新闻、观看 YouTube 视频、观看色情内容以及填写纳税表格。扩展程序捕获图像和文本,例如医疗诊断、社会安全号码和约会应用程序首选项。
梅林传输了银行详细信息和健康记录。即使在私人浏览模式下,Merlin 和 Sider AI 也会记录活动。解密后的流量分析显示传输到公司服务器和第三方跟踪器。 Sider 和 TinaMind 与 Google Analytics 共享用户提示和 IP 地址,从而促进跨站点跟踪。微软的 Copilot 在浏览器存储中保留了跨会话的聊天历史记录。
Google、Copilot、Monica、ChatGPT 和 Sider 按年龄、性别、收入和兴趣对用户进行了分析,以便在多个会话中提供个性化响应。 Perplexity 成为经过测试的工具中最尊重隐私的工具。它不记得之前的交互,并且它的服务器避免来自私人空间的个人数据。 Perplexity 仍然处理页面标题和用户位置。
OpenAI 在研究后发布了 Atlas。 OpenAI 表示 Atlas 有选择地分析内容,但它会处理所有网站图像和文本。可选的内存功能可存储浏览历史记录元素以定制体验。用户无法指定浏览器检索哪些网站方面。 OpenAI 的帮助页面建议从聊天窗口中删除页面、阻止敏感 URL 或删除历史记录以限制暴露。
Atlas 包括两个与数据相关的设置。默认情况下,“为所有人改进模型”处于激活状态,并允许 OpenAI 使用聊天机器人查询中的网页数据进行 ChatGPT 训练。 “包括网页浏览”将完整的浏览历史记录纳入培训中。 OpenAI 在训练使用之前对数据进行匿名处理,但边界细节仍然有限。用户可以禁用这两个设置。
Perplexity 的 Comet 将搜索历史记录本地存储在用户设备上,而不是服务器上。它访问 URL、文本、图像、搜索查询、下载历史记录和 cookie 以实现核心功能。 Comet 的代理模式和内存工具可以分析搜索历史和偏好。该浏览器请求 Google 帐户访问权限,包括电子邮件、联系人、设置和日历,并可选择第三方集成。 Perplexity 的解释页面详细介绍了数据设置。专家建议将聊天机器人侧边栏限制在非敏感页面。
人工智能公司经常在未经明确同意的情况下将存储的用户数据重新用于大型语言模型训练。这种做法通过不透明协议和默认选择,从人工智能扩展到社交媒体、零售商、搜索引擎和消息服务。浏览器比其他平台访问更多敏感信息。 2025 年上半年,OpenAI 满足了 105 项美国政府数据请求。
安全漏洞加剧了隐私问题。即时注入攻击允许黑客在浏览器后端嵌入恶意内容,与合法输入无法区分。这些使得网络钓鱼和盗窃凭证、银行详细信息和个人数据成为可能。
《Octo》中的一项勇敢研究ber 2025 将即时注入描述为人工智能浏览器面临的系统性挑战,增加了网络钓鱼风险。 LayerX Security 报告称,与 Chrome 用户相比,Perplexity Comet 用户面临的此类攻击的脆弱性高出 85%。 OpenAI 首席信息官 Dane Stuckey 在 X 上表示,即时注入“仍然是一个前沿、未解决的安全问题”。 Perplexity 的博客呼吁人工智能公司“从头开始重新思考安全性”。
USENIX 研究人员在受控场景中测试了扩展以测量数据捕获。在新闻浏览中,扩展程序会记录文章文本和图像。 YouTube 会议导致视频缩略图捕获和评论抓取。色情网站导致图像和偏好记录。税表模拟暴露了社会安全号码和财务详细信息。
来自 Merlin 的解密流量显示了健康记录的明文传输,包括糖尿病管理笔记等诊断以及带有帐号的银行登录信息。 Sider AI 的数据包包含 IP 地址以及包含个人标识符的提示。 TinaMind 将类似的数据路由到 Google Analytics 端点。
Copilot 的本地存储保留了对话日志,包括与先前站点的收入详细信息相关的财务规划查询。分析示例包括 Sider 从购物网站推断用户性别,从新闻偏好推断用户年龄,并将其应用于类似广告的推荐。
Perplexity 的限制阻止了跨会话内存,从而阻塞了分析。其服务器日志仅包含页面标题(“登录 – 美国银行”)和地理位置坐标等元数据,没有来自私人选项卡的内容有效负载。
Atlas 文档确认所有选项卡上的图像 OCR 和文本提取。内存快照包括 URL 列表和汇总历史记录,例如“访问过带有电子产品的亚马逊购物车”。根据 OpenAI 披露的信息,培训选择通过匿名管道、散列 IP 和聚合会话来处理数据。
Comet 的本地存储使用 IndexedDB 来存储历史记录,并可选择同步到 Perplexity 帐户。 Google 集成需要 OAuth 范围才能对 Gmail 和日历进行读/写访问。 Zapier 等第三方工具通过 API 密钥进行连接。
政府向 OpenAI 发出的请求包括威胁调查传票和国家安全令,涉及 6,000 个用户帐户。合规性日志详细介绍了数据类型:聊天、文件和 IP 跟踪。
Brave 10 月份的分析模拟了跨浏览器的 500 次注入尝试。 AI 模型执行了 72% 的恶意提示,而传统浏览器中的这一比例为 4%。 LayerX 测试了 1,200 名用户:Comet 会话每小时产生 2.1 个漏洞,Chrome 1.1。
扩展注入机制依赖于 Manifest V3 服务工作者,授予广泛的选项卡权限。自治源于匹配所有 URL 的“content_scripts”,将 DOM 树通过管道传递给 LLM。
StatCounter 数据显示,截至 2025 年末,Chrome 的市场份额为 70%。根据 SametimeWeb,人工智能浏览器合计占据 12%。 Firefox AI 集成将其份额提升至 8%。
