海外安全媒体SecurityOnline发布风险预警,一款冒用PerplexityAI品牌的Chrome恶意扩展在应用商店潜伏传播,大量普通用户、办公人群中招。该插件名为Searchforperplexityai,依靠AI工具热度伪装成官方辅助插件,上线后快速积累安装量,直到微软安全团队监测到异常流量才曝光。
目前谷歌已将该恶意扩展从Chrome网上应用店下架,但此前完成安装的设备仍持续暴露风险。攻击者利用大众对AI搜索工具的信任实施流量劫持,全程捕获用户地址栏输入、搜索关键词、浏览轨迹,隐私泄露风险极高。随着生成式AI普及,仿冒ChatGPT、Perplexity类恶意扩展持续增多,成为新型数据窃取攻击主流载体。

这款仿冒扩展依靠两大高危权限实现数据偷取,常规用户很难察觉异常:
1、篡改浏览器搜索引擎权限
插件申请chrome_settings_overrides权限,强制将自身设为浏览器默认搜索工具。用户在地址栏输入任意文字、检索指令,都会先跳转至攻击者搭建的仿冒域名perplexity-ai.online,而非官方perplexity.ai。
2、全网流量拦截转发
借助declarativeNetRequest网络规则权限,劫持全部搜索请求,将用户IP、设备信息、完整检索内容同步上传至黑客服务器,完成数据留存后再跳转正规AI搜索页面,页面显示无任何破绽,用户难以分辨。
该插件预留WebAssembly运行空间,暗藏扩展后门,攻击者可远程更新恶意规则,后续随时新增窃取账号、弹窗投放诈骗广告等功能。插件专属ID为flkebkiofojicogddingbdmcmkpbplcd,可作为排查核心标识。
普通用户使用该插件,日常搜索记录、隐私提问、工作机密都会被第三方非法留存。若检索包含手机号、合同信息、财务数据、项目方案等内容,极易流入黑产链条,衍生精准电信诈骗、垃圾营销骚扰。
企业办公场景危害更严重:员工使用浏览器处理客户资料、内部业务文档,恶意扩展批量抓取企业敏感数据,造成商业信息泄露。行业监测显示,同类仿AI扩展已在数千家企业终端出现,部分中小企业无终端管控策略,批量设备被劫持,合规层面触碰数据安全相关法规。
1、打开浏览器扩展管理页面chrome://extensions/,开启开发者模式,核对所有插件ID,匹配目标ID立即卸载。
2、进入浏览器搜索引擎设置,手动重置默认搜索引擎为谷歌、必应等正规渠道,删除不明第三方搜索源。
3、清理浏览器缓存、Cookie,修改各类平台登录密码,防范已泄露检索信息被用于撞库盗号。
4、仅通过Perplexity官网下载官方工具,拒绝第三方渠道、小众网站分享的AI辅助插件。
1、配置浏览器终端策略,开启扩展白名单,仅放行企业核验通过的正规AI工具,拦截未知第三方扩展安装。
2、终端安全软件新增恶意扩展ID、仿冒域名IoC规则,实时拦截perplexity-ai.online等恶意地址访问。
3、定期开展员工安全培训,普及仿冒AI插件识别技巧,禁止员工随意安装各类AI搜索、AI侧边栏工具。
4、每周批量巡检终端扩展列表,自动告警异常搜索引擎篡改行为,提前阻断劫持攻击。
AI工具热度催生仿冒浏览器扩展黑色产业链,假冒Perplexity插件通过篡改搜索链路静默窃取用户全部检索数据,个人隐私与企业商业信息双双面临泄露危机。普通用户需养成插件核验习惯,企业完善终端管控策略,从源头规避AI仿冒工具带来的流量劫持、数据窃取风险,安全使用各类生成式AI服务。
最新发布
根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《51DNS.COM账号实名认证公告》
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。