恶意Perplexity浏览器扩展程序劫持搜索请求与地址栏输入

admin 2026-07-02 06:10:59 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软发现伪装成PerplexityAI的恶意Chrome扩展SearchforPerplexityAI,该扩展通过declarativeNetRequest权限将用户搜索流量重定向至攻击者控制的perplexity-ai[.]online域名,窃取搜索内容、地址栏实时输入、IP及用户代理信息后跳转至正规搜索引擎。企业需通过策略限制扩展安装、监控配置变更与异常流量,并对AI相关工具保持警惕。 综合评分: 100 文章分类: 恶意软件,威胁情报,漏洞分析,安全运营,web安全


cover_image

恶意 Perplexity 浏览器扩展程序劫持搜索请求与地址栏输入

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月30日 08:52 湖北

在小说阅读器读本章

去阅读

微软发现一款恶意 Chrome 扩展程序,该程序仿冒人工智能搜索引擎 Perplexity,并在后台偷偷记录用户的搜索内容。用户在地址栏输入的每一条检索词、每一个字符,都会先经过攻击者管控的服务器,之后才跳转至正常的搜索结果页面。

微软表示,在厂商完成负责任漏洞披露后,谷歌已从应用商店下架了这款插件。该扩展名为 Search for perplexity ai(插件 ID:flkebkiofojicogddingbdmcmkpbplcd),并使用仿冒域名 perplexity-ai [.] online,伪装成正版网站 perplexity.ai。

微软 Defender 安全研究团队表示,该插件的核心目的是拦截搜索行为、窃取用户数据。目前暂未发现窃取账号密码的证据,但其申请的权限远超普通搜索工具所需。

一旦完成安装,该扩展会自动将自身设置为浏览器默认搜索引擎。用户发起搜索时,检索内容会首先发送至域名 perplexity-ai [.] online,攻击者服务器会同步记录浏览器请求头、IP 地址与用户代理信息。

随后服务器再将用户重定向到 Perplexity、谷歌、必应等正规搜索引擎,页面显示完全正常。信息窃取就发生在跳转前的这第一道中转环节。

地址栏实时联想功能进一步扩大了数据泄露范围。插件把浏览器地址栏实时搜索建议地址(suggest_url)同样指向攻击者域名。也就是说,用户还未按下回车键,输入内容就已经上传到黑客服务器。被窃取的不只是完整搜索记录,而是敲击键盘输入的每一个字符。

Chrome 浏览器允许修改搜索引擎配置,正规扩展也会使用该项能力。但普通搜索插件无权篡改并中转用户网络流量。该恶意程序专门申请了 declarativeNetRequest 系列权限来实现流量劫持,并且在服务端部署代码记录所有网络请求。微软判定,数据收集属于蓄意行为,并非跳转带来的附带产物。

插件内还预置了针对谷歌与必应的跳转规则(当前处于禁用状态),攻击者随时可以开启,对这两款搜索引擎实施同样的数据窃取。程序甚至预留了运行 WebAssembly 代码的空间,而一款简易搜索工具完全不需要这类功能。

近期大量恶意扩展都借着 AI 产品的外衣泛滥:一部分篡改默认搜索引擎捕获输入内容,还有一部分劫持搜索服务,或是窃取 ChatGPT、DeepSeek 的对话记录。微软相关研究显示,这类窃取聊天记录的恶意插件,已在两万多家企业内网中累计达到约 90 万次安装量。

本次事件的攻击目标有所区别:攻击者不再截取 AI 对话内容,而是借助 Chrome 扩展机制,全程捕获网页搜索记录与地址栏的每一次按键输入。

如果你曾经安装过 Search for perplexity ai,请立即卸载,并核查浏览器默认搜索引擎是否被篡改。企业运维团队可落实以下基础防护措施:

  1. 通过浏览器策略或企业组策略,仅放行经过审核的可信扩展;
  2. 持续监控异常改动:搜索引擎配置变更、扩展申请越权权限、访问陌生域名的网络流量;
  3. 对所有打着 AI 旗号的工具保持高度警惕,安装前仔细核验开发者与官方域名。

目前攻击者身份尚未查实,微软也未披露该插件下架前的总安装量。AI 热门标签拉高了下载量,搜索引擎劫持则完成了数据窃密。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《恶意 Perplexity 浏览器扩展程序劫持搜索请求与地址栏输入》

评论:0   参与:  0