Brave研究指出，Perplexity的Comet浏览器在执行总结此页等任务时，会将部分网页内容直接送入语言模型，却未严格区分使用者指令与不受信任的页面文字，因而可能存在间接提示注入攻击风险。

攻击者只要在网站或社群留言隐藏恶意指令，就能在用户已登入的情况诱使代理执行未经授权的操作。Brave公开技术细节并强调，后续再测仍发现Comet未能完全阻断这类攻击手法，相关问题已再次回报Perplexity。

Brave的示範以网路论坛Reddit贴文为例，当用户开启含有剧透标籤的留言并点选Comet的总结功能时，人工智慧在处理页面时读到隐藏指令，随即依序存取用户的Perplexity帐号资料页，并透过伪装成不同网域的网址要求一次性密码（OTP），再到Gmail读取该密码，最后将邮件与密码贴到该留言。整个过程完全不需使用者额外操作，清楚展现人工智慧将不受信任内容误认为使用者请求的风险。

Brave评估，这类攻击对传统Web安全机制造成挑战，当人工智慧代理依照不受信任内容採取行动时，同源政策（Same Origin Policy，SOP）与跨来源资源共享（CORS）等既有防护都可能失效。由于代理具备与用户相同的登入权限，其操作範围可能延伸至银行、企业系统、云端邮件与储存服务，潜在冲击远超过一般网站漏洞。与传统跨站攻击不同，这种模式是利用自然语言指令跨网域触发，即使在攻击者无法直接控制的社群平台仍然有效。

Brave提出多项防护方向，首先，在提示组装阶段应严格区隔使用者指令与页面内容，并将后者一律视为不受信任。其次，模型在规画动作时必须检查是否与用户原始请求相符，避免被外部内容误导。对于涉及隐私或安全的操作，则必须要求用户在最后一步明确确认，最后，代理式浏览应与一般浏览模式清楚分离，并遵循最小权限原则设计。

除了Brave，Guardio Labs也发表Scamlexity研究，从情境测试切入，验证代理式浏览器在不同情境下的风险行为。测试显示Comet可能在假冒的Walmart电商页面，自动下单并带出浏览器储存的付款方式与地址资料，也会在处理邮件时直接开启尚未被Google Safe Browsing标记的富国银行钓鱼登入页，甚至能透过PromptFix技术，将提示注入藏于伪造验证码（Captcha）的隐藏栏位，诱导代理下载文件。

Guardio Labs的研究与Brave揭露的漏洞，皆显示代理式浏览需在权限控管、使用者确认以及提示安全上建立更严谨的防线。