Comet AIブラウザ内の未公開システムレベルAPIにより、組み込み拡張機能がコマンド実行やアプリケーション起動を可能に
SquareXは、Comet AIブラウザ内にこれまで未公開だったAPIが存在し、組み込み拡張機能が任意のコマンド実行やアプリケーション起動を可能にしていることを明らかにしました。これらの機能は主流のブラウザでは意図的にブロックされています。
水曜日の公開に先立ちCSOに共有された情報によると、CometのAnalytics Extensionには、主流ブラウザの10年以上前からのセーフガードを回避するカスタムMCP APIが含まれているとのことです。
このAPIはperplexity.aiから直接トリガーでき、攻撃者が侵害された拡張機能やXSS、フィッシングなどの手法で悪用できる隠れた実行チャネルを作り出します。この機能は、通常はネイティブアプリにのみ許可されているデバイスアクセスの一種をブラウザにもたらすものだとSquareXは付け加えています。
専門家によれば、この発見はAIブラウザにとって微妙なタイミングで明らかになったとのことです。Omdiaの主席アナリスト、ジョン・グレイディ氏は「ほとんどの組織はすでに慎重に分類しています。現時点では、ほとんどの組織がこれらを管理外アプリとして扱っています」と述べています。「非常に初期段階であり、デフォルトの企業用ブラウザとして採用している組織はごくわずか、もしくは全くありません。そして今回の発見がその状況を変えることはありません。」
組み込み拡張機能が未公開のデバイスアクセスを持つ
SquareXによれば、Cometの組み込みAnalytics Extensionを調査中にMCP APIを発見し、非標準の「chrome.perplexity」ネームスペースがChromiumへの追加を示唆していたとのことです。SquareXのオードリー・アデリン氏は「Comet Analytics Extensionのソースコード内でMCP APIを直接特定できました」と述べています。
彼女はまた、この機能の悪用難易度が驚くほど低いことを指摘しています。「この脆弱性を突く技術的ハードルは非常に低いです。拡張機能の上書き、クロスサイトスクリプティング、基本的なネットワークMitM攻撃で十分です。」公開とともに共有されたデモでは、CometのAnalytics Extensionを装った悪意ある拡張機能がperplexity.aiページにスクリプトを注入し、最終的にAgentic Extensionを使ってMCP APIを呼び出し、WannaCryのオンデバイス実行に至っています。
SquareXはまた、CometがAnalyticsおよびAgentic拡張機能をブラウザの拡張機能ダッシュボードから隠しており、ユーザーが侵害を疑っても無効化できないことも指摘しています。ドキュメントが存在しないため、アデリン氏は「他の組み込みまたはサードパーティ拡張機能も、将来的には(あるいは現時点でも)APIへのアクセス権を持つ可能性がある」と警告しています。
PerplexityはCSOからのコメント要請にすぐには応じませんでした。
AIブラウザへのさらなる警鐘
この公開により、企業によるAIブラウザ導入への慎重姿勢がさらに強まる可能性があります。グレイディ氏は、組織はリスクと利点を十分に評価できるまで、これらを非公認アプリとして扱い続けるだろうと述べています。「セキュリティチームは企業ポリシーを明確にし、そのポリシーを施行するためのツールを備えているべきです。」
SquareXの勧告は非常に率直です。AIブラウザはすべてのシステムレベルAPIを開示し、独立したセキュリティ監査を受け、ユーザーが組み込み拡張機能を無効化できるようにすべきです。それがなければ、業界が静かにエンドポイントレベルの権限を持つブラウザを標準化してしまう危険があると警告しています。
「残念ながら、MCP APIはデフォルトでCometの組み込み拡張機能からアクセス可能であり、これらの拡張機能をアンインストールする方法はありません。そのため、ユーザーがCometの利用を防ぐ以外に、真の修正はPerplexity側からしか提供できません」とアデリン氏は指摘します。「拡張機能の上書きに対しては、デバイスの整合性対策を講じて拡張機能のサイドローディングを防ぐことができます。」しかし、拡張機能の上書きはAPIが悪用される一例に過ぎないとも述べています。
