(画像クレジット: Shutterstock)
- SquareXはCometブラウザ内に隠されたMCP APIを発見し、任意のローカルコマンド実行が可能であることを確認
- Agentic拡張機能の脆弱性により、攻撃者がperplexity.aiサイトを悪用してデバイスを乗っ取る可能性
- デモではWannaCryの実行を披露、研究者は壊滅的なサードパーティリスクが不可避だと警告
SquareXのサイバーセキュリティ専門家は、Perplexityが開発したAIブラウザ「Comet」に重大な脆弱性が存在し、攻撃者が被害者のデバイスを完全に乗っ取る可能性があると主張しています。
SquareXは、このブラウザに、ローカルコマンド(基盤となるオペレーティングシステム上でのコマンド)を実行できる隠しAPIが存在することを発見しました(通常のブラウザはこれを禁止しています)。
研究者らがMCP API(chrome.perplexity.mcp.addStdioServer)と名付けたこのAPIは、より一般的な「Model Context Protocol」のカスタム実装のようであり、「組み込まれた拡張機能がユーザーのデバイス上で任意のローカルコマンドを実行できる機能を持ち、従来のブラウザでは明確に禁止されている」としています。
時間の問題
SquareXの研究者Kabilan Sakthivel氏によれば、業界が発展させてきた厳格なセキュリティ管理を順守しないことは、「Chrome、Safari、Firefoxなどのベンダーが確立した数十年にわたるブラウザのセキュリティ原則を逆行させる」と述べています。
SquareXによると、このAPIはAgentic拡張機能内で発見され、perplexity.aiページからトリガー可能です。つまり、誰かがPerplexityのサイトに侵入すれば、すべてのユーザーのデバイスにアクセスできることを意味します。
研究者たちにとって、これは「もし」ではなく「いつか」の問題です。
「たった1つのXSS脆弱性、Perplexity従業員へのフィッシング攻撃の成功、または内部関係者による脅威があれば、攻撃者はブラウザ経由で全Cometユーザーのデバイスに前例のない制御権を即座に得ることができます」と報告書は指摘しています。
「これにより、ユーザーは自分のデバイスのセキュリティをPerplexityのセキュリティ体制に委ねることとなり、リスクを評価・軽減する簡単な方法がない壊滅的なサードパーティリスクが生まれます。」
SquareXはまた、正規の拡張機能を偽装し、ブラウザにサイドロードしてperplexity.aiページにスクリプトを注入し、これによりAgentic拡張機能を呼び出し、最終的にMCPを使ってWannaCryを実行するデモも披露しました。
「デモでは拡張機能の踏み台化を利用しましたが、XSSやMitMネットワーク攻撃など、perplexity.aiや組み込み拡張機能を悪用する他の手法でも同様の結果を招く可能性があります。」
これらの発見についてPerplexityに問い合わせており、回答があり次第記事を更新します。
