伪装成 Perplexity 的扩展把 AI 品牌变成搜索窃听器
微软发现一款冒充 Perplexity 的 Chromium 扩展,会在显示真实结果之前,把地址栏的每一次按键都转发到攻击者的服务器——没有浏览器漏洞,只是被滥用的信任和 Manifest V3 权限。
这是什么?
2026 年 6 月 29 日,微软威胁情报团队发布了一份分析,揭示了一款恶意 Chromium 扩展,它把自己伪装成 AI 应答引擎 Perplexity,以诱使用户安装。这款扩展——在商店中名为 “Search for perplexity ai”——并未利用任何浏览器缺陷。它滥用了用户对知名 AI 品牌的信任,随后使用普通、有据可查的浏览器 API,插入到用户与其搜索引擎之间。BleepingComputer、CSO Online 与 The Hacker News 随后进行了报道。微软已向谷歌报告,谷歌随即将其从 Chrome 应用商店下架。
微软评估该扩展的主要目的是拦截搜索流量并收集数据。真正的 Perplexity 扩展名为 “Perplexity – AI Search”;冒名者依托一个仿冒域名 perplexity-ai[.]online,而非真实的 perplexity.ai。它所利用的漏洞并非技术性的——而是员工采用 AI 工具的速度,与组织学会治理浏览器扩展的速度之间的鸿沟。
工作原理
一旦安装,扩展便悄悄改变了浏览器发送你所输入内容的目的地。它利用 Chromium 的 chrome_settings_overrides 替换默认搜索引擎,并且——更具侵入性地——把地址栏的实时建议端点指向攻击者的基础设施。第二个细节才是锋利之处:你的输入在你按下回车之前就被转发出去,随着浏览器获取建议,逐个字符地发送。每一次完成的查询、每一次未完成的按键,都先发往运营者的服务器,并带上浏览器请求头、IP 地址和用户代理,之后才转到真正的搜索引擎。
你在地址栏输入 -> 攻击者服务器记录 -> 返回真实搜索结果
(逐次按键) (请求头、IP、UA) (看起来完全正常)
由于受害者仍能收到预期的结果,一切看似无恙。微软指出,该扩展请求了强大的 declarativeNetRequest(DNR) 权限——流量重定向、URL 重写和选择性请求过滤——这与 AI 助手完成本职工作所需的权限并不相符。微软表示,服务器端的日志记录代码表明这是刻意设计,而非草率的分析统计。虽未观察到凭据窃取,但该权限组合本可让运营者随意扩大收集范围。正如一位研究人员所总结的,这次攻击并不依赖浏览器漏洞:用户本身就是初始访问载体。
为什么重要
搜索历史就是意图数据。一份持续记录某人在浏览器中输入内容的日志——包括半成形的问题——会暴露项目、健康顾虑、交易代号、供应商评估,以及能勾勒出整个组织的内部术语。若被悄然收集并与 IP 和用户代理关联,它就是一份丰富的画像数据源,也是定向钓鱼的跳板。
更值得防御方警惕的是其中的普遍模式。攻击者正跟随用户的信任进入浏览器:随着生成式 AI 工具涌入工作场所,带 AI 品牌的扩展正成为高价值的社会工程诱饵,因为用户本就预期 AI 工具会请求广泛权限。多数组织拥有成熟的软件资产清单,却几乎无法看清员工到底安装了哪些扩展。浏览器如今已是邮件、SaaS 与 AI 助手的主要工作空间——而它治理不足。这与其他滥用市场信任的手法同属一类,例如恶意智能体技能和流氓 MCP 服务器:一个受信任的分发渠道被变成了数据收集层。
防御
扩展已被下架,但手法可被复制。持久的防御在于治理与行为,而非某一条黑名单。
- 仅从经过验证的发布者处安装 AI 扩展。 核对开发者身份,并与厂商官方页面比对,而不是看扩展的名称或图标。商店条目中出现仿冒域名(
perplexity-ai[.]onlinevsperplexity.ai)就是危险信号。 - 对照功能审读权限。 一个 AI 搜索助手不存在使用网络重定向或 URL 重写(DNR)权限的正当理由。凡是能够重定向或重写流量的权限,都应拒绝。
- 把扩展当作第三方软件供应商对待。 让它们进入与其他厂商软件相同的审查、批准与清点流程:企业扩展白名单,禁止从未经验证的发布者安装。
- 监控行为,而不仅是已知的恶意 ID。 留意默认搜索引擎的更改、请求访问所有网站的权限、与其声称的发布者无关的域名通信,以及安装后又索取新权限的扩展。
- 若已安装,请清理。 卸载该扩展,确认默认搜索引擎已恢复为可信提供商,并出于谨慎轮换关键密码——鉴于搜索流量所能揭示的信息。
状态
| 项目 | 参考 | 日期 | 备注 |
|---|---|---|---|
| 披露 | 微软威胁情报 | 2026-06-29 | 扩展 “Search for perplexity ai”(ID flkebkiofojicogddingbdmcmkpbplcd) |
| 被冒充品牌 | Perplexity AI | — | 仿冒域名 perplexity-ai[.]online vs perplexity.ai |
| 下架 | Google / Chrome 应用商店 | 2026-06 | 在微软负责任披露后被移除 |
| 观察到的影响 | 微软 | 2026-06 | 搜索拦截 + 数据收集;未观察到凭据窃取,但权限允许 |
诚实的表述不是”一款 AI 扩展是恶意的”——而是:一款浏览器扩展无需触碰任何漏洞,仅凭借用一个受信任的品牌、索取用户早已不再质疑的权限,就能变成监听你搜索栏的窃听器。 在扩展被当作它们本就属于的第三方软件来治理之前,防御在你手中:核实发布者、审读权限,并留意你的浏览器在与谁通信。
Sources
- → https://www.microsoft.com/en-us/security/blog/2026/06/29/chromium-extension-uses-airelated-branding-redirect-browser-search/
- → https://www.bleepingcomputer.com/news/security/fake-perplexity-extension-on-chrome-web-store-tracked-searches/
- → https://www.csoonline.com/article/4191060/malicious-chromium-extension-spoofs-perplexity-ai-to-hijack-browser-searches.html
- → https://thehackernews.com/2026/06/malicious-perplexity-chrome-extension.html