系统:运行中
← 返回所有攻击
SUPPLY CHAIN MEDIUM NEW

伪装成 Perplexity 的扩展把 AI 品牌变成搜索窃听器

微软发现一款冒充 Perplexity 的 Chromium 扩展,会在显示真实结果之前,把地址栏的每一次按键都转发到攻击者的服务器——没有浏览器漏洞,只是被滥用的信任和 Manifest V3 权限。

2026-07-02 // 5 min affects: chromium-browsers, google-chrome

这是什么?

2026 年 6 月 29 日,微软威胁情报团队发布了一份分析,揭示了一款恶意 Chromium 扩展,它把自己伪装成 AI 应答引擎 Perplexity,以诱使用户安装。这款扩展——在商店中名为 “Search for perplexity ai”——并未利用任何浏览器缺陷。它滥用了用户对知名 AI 品牌的信任,随后使用普通、有据可查的浏览器 API,插入到用户与其搜索引擎之间。BleepingComputerCSO OnlineThe Hacker News 随后进行了报道。微软已向谷歌报告,谷歌随即将其从 Chrome 应用商店下架。

微软评估该扩展的主要目的是拦截搜索流量并收集数据。真正的 Perplexity 扩展名为 “Perplexity – AI Search”;冒名者依托一个仿冒域名 perplexity-ai[.]online,而非真实的 perplexity.ai。它所利用的漏洞并非技术性的——而是员工采用 AI 工具的速度,与组织学会治理浏览器扩展的速度之间的鸿沟。

工作原理

一旦安装,扩展便悄悄改变了浏览器发送你所输入内容的目的地。它利用 Chromium 的 chrome_settings_overrides 替换默认搜索引擎,并且——更具侵入性地——把地址栏的实时建议端点指向攻击者的基础设施。第二个细节才是锋利之处:你的输入在你按下回车之前就被转发出去,随着浏览器获取建议,逐个字符地发送。每一次完成的查询、每一次未完成的按键,都先发往运营者的服务器,并带上浏览器请求头、IP 地址和用户代理,之后才转到真正的搜索引擎。

你在地址栏输入  ->  攻击者服务器记录  ->  返回真实搜索结果
   (逐次按键)      (请求头、IP、UA)      (看起来完全正常)

由于受害者仍能收到预期的结果,一切看似无恙。微软指出,该扩展请求了强大的 declarativeNetRequest(DNR) 权限——流量重定向、URL 重写和选择性请求过滤——这与 AI 助手完成本职工作所需的权限并不相符。微软表示,服务器端的日志记录代码表明这是刻意设计,而非草率的分析统计。虽未观察到凭据窃取,但该权限组合本可让运营者随意扩大收集范围。正如一位研究人员所总结的,这次攻击并不依赖浏览器漏洞:用户本身就是初始访问载体。

为什么重要

搜索历史就是意图数据。一份持续记录某人在浏览器中输入内容的日志——包括半成形的问题——会暴露项目、健康顾虑、交易代号、供应商评估,以及能勾勒出整个组织的内部术语。若被悄然收集并与 IP 和用户代理关联,它就是一份丰富的画像数据源,也是定向钓鱼的跳板。

更值得防御方警惕的是其中的普遍模式。攻击者正跟随用户的信任进入浏览器:随着生成式 AI 工具涌入工作场所,带 AI 品牌的扩展正成为高价值的社会工程诱饵,因为用户本就预期 AI 工具会请求广泛权限。多数组织拥有成熟的软件资产清单,却几乎无法看清员工到底安装了哪些扩展。浏览器如今已是邮件、SaaS 与 AI 助手的主要工作空间——而它治理不足。这与其他滥用市场信任的手法同属一类,例如恶意智能体技能流氓 MCP 服务器:一个受信任的分发渠道被变成了数据收集层。

防御

扩展已被下架,但手法可被复制。持久的防御在于治理与行为,而非某一条黑名单。

  1. 仅从经过验证的发布者处安装 AI 扩展。 核对开发者身份,并与厂商官方页面比对,而不是看扩展的名称或图标。商店条目中出现仿冒域名(perplexity-ai[.]online vs perplexity.ai)就是危险信号。
  2. 对照功能审读权限。 一个 AI 搜索助手不存在使用网络重定向或 URL 重写(DNR)权限的正当理由。凡是能够重定向或重写流量的权限,都应拒绝。
  3. 把扩展当作第三方软件供应商对待。 让它们进入与其他厂商软件相同的审查、批准与清点流程:企业扩展白名单,禁止从未经验证的发布者安装。
  4. 监控行为,而不仅是已知的恶意 ID。 留意默认搜索引擎的更改、请求访问所有网站的权限、与其声称的发布者无关的域名通信,以及安装后又索取新权限的扩展。
  5. 若已安装,请清理。 卸载该扩展,确认默认搜索引擎已恢复为可信提供商,并出于谨慎轮换关键密码——鉴于搜索流量所能揭示的信息。

状态

项目参考日期备注
披露微软威胁情报2026-06-29扩展 “Search for perplexity ai”(ID flkebkiofojicogddingbdmcmkpbplcd
被冒充品牌Perplexity AI仿冒域名 perplexity-ai[.]online vs perplexity.ai
下架Google / Chrome 应用商店2026-06在微软负责任披露后被移除
观察到的影响微软2026-06搜索拦截 + 数据收集;未观察到凭据窃取,但权限允许

诚实的表述不是”一款 AI 扩展是恶意的”——而是:一款浏览器扩展无需触碰任何漏洞,仅凭借用一个受信任的品牌、索取用户早已不再质疑的权限,就能变成监听你搜索栏的窃听器。 在扩展被当作它们本就属于的第三方软件来治理之前,防御在你手中:核实发布者、审读权限,并留意你的浏览器在与谁通信。

Sources