ブラウザセキュリティ企業のSquareXは、PerplexityのComet AIブラウザに潜在的に重大な脆弱性を発見したと主張しています。Perplexityは攻撃を防ぐための措置を講じましたが、この発見に強く異議を唱えています。
SquareXの物議を醸す調査は、限定的なドキュメントしかないModel Context Protocol(MCP)APIと、Cometで使用され無効化できない2つの隠されたAnalyticsおよびAgentic拡張機能に焦点を当てています。
MCPは通常、AIアプリケーションを外部データソースやツールに接続するために使用されます。SquareXは、Agentic拡張機能がCometのエージェント自動化機能すべてを実行するために設計されており、Analytics拡張機能はブラウザデータの収集・処理やAgentic拡張機能の動作監視のために設計されていることを発見しました。
SquareXは発見しましたが、両方の拡張機能は「perplexity.ai」サブドメインとのみ通信でき、APIへのアクセスもこれらのサブドメインに限定されています。
しかし、SquareXによると、攻撃者が「perplexity.ai」ドメインにアクセスするか、Agentic拡張機能を侵害できれば、MCP APIを悪用してユーザーの許可を求めずにホストデバイス上でコマンドを実行できるといいます。これにより、攻撃者は被害者のデバイスを制御し、ランサムウェアを実行したり、ユーザーの活動を監視したり、データを流出させたりできるとSquareXは警告しています。
このブラウザセキュリティ企業は、攻撃を実行するには、脅威アクターがXSSやMitMネットワーク攻撃を通じて拡張機能を乗っ取るか、Perplexityのシステムにアクセスして拡張機能を侵害する必要があることを認めています。
攻撃デモでは、SquareXの研究者が「エクステンション・ストンピング」と呼ばれる手法を使用しました。これは、正規のComet Analytics拡張機能になりすました悪意のある拡張機能を作成し、サイドロードするというものです。彼らはこの攻撃を使ってランサムウェアを展開できることを示しました。
SquareXは、11月4日にこの発見をPerplexityに報告したと述べていますが、公開時点までに返答はなかったとしています。
SecurityWeekからの問い合わせに対し、PerplexityはSquareXが説明した攻撃手法を防ぐために慎重を期していくつかの対策を実施したと述べましたが、「偽のセキュリティ調査」だと表現しました。
「このシナリオ全体は作り物であり、実際の技術的なセキュリティリスクを示すものではありません」とPerplexityの広報担当者は説明しました。「仮にリスクがあるとすれば、それは人間がフィッシングされて手動でマルウェアをロードするよう説得されるリスクですが、彼ら自身もそれは非現実的だと認めており、既存の拡張機能を悪意のあるものに変更できるのは本番環境にアクセスできるPerplexityの従業員だけです。」
Perplexityは、SquareXのビデオデモが攻撃には大きな人的介入が必要であることを示していると指摘しました。
また、Cometがローカルシステム操作のためにユーザーの明示的な同意を得ていないという主張にも異議を唱えています。同社は、ユーザーはローカルMCPのインストールに同意する必要があり、その後のMCPからのコマンドもユーザーの確認が必要だと主張しています。
Perplexityは、Cometユーザーを標的とした攻撃を把握していないと述べ、潜在的な脆弱性を積極的に特定・修正するためにセキュリティ研究者と連携していることを強調しました。しかし同社によれば、SquareXから連絡はあったものの、バグレポートにはアクセスできず、脆弱性情報へのアクセス要請にもセキュリティ企業から返答がなかったとしています。
Perplexityのコメントに対し、SquareXは、デモで使用したエクステンション・ストンピング手法はユーザーの操作が必要だが、MCP APIの権限と本質的なリスクを示すことが目的だったと指摘しました。同社は、サプライチェーンの侵害やXSS、MitM攻撃など他の攻撃経路であれば、より少ないユーザー操作で済むだろうと述べています。
またSquareXは、実験中に研究者が許可を求められることは一度もなく、Cometブラウザを再起動した直後にランサムウェアが即座に実行されたと述べています。
SquareXは、Perplexityのパッチについて「セキュリティの観点から素晴らしいニュースであり、我々の調査がAIブラウザの安全性向上に貢献できたことを嬉しく思う」とコメントしています。
