- SquareXは、PerplexityのCometブラウザがローカルコマンド実行を可能にする隠しMCP APIを公開していると非難
- Perplexityはこの主張を「完全に虚偽」と否定し、APIは開発者モード・ユーザーの同意・手動サイドローディングが必要だと強調
- SquareXは、同社の実証後にCometが密かにアップデートされ、外部研究者も攻撃を再現したと反論
サイバーセキュリティ企業SquareXは最近、PerplexityがAIブラウザCometに重大な脆弱性を隠していると非難しました。これに対しPerplexityは、「完全に虚偽」であり、拡大する「フェイクセキュリティリサーチ」問題の一部だと反論しています。
SquareXは、Cometブラウザ内にローカルコマンドを実行できる隠しAPIがあると指摘しました。このAPI(MCP API)は、組み込み拡張機能がユーザーのデバイス上で任意のローカルコマンドを実行できるもので、従来のブラウザでは明確に禁止されています。
SquareXによれば、このAPIはAgentic拡張機能内で発見され、perplexity.aiページからトリガー可能であるため、もし誰かがPerplexityのサイトに侵入すれば、すべてのユーザーのデバイスにアクセスできるとしています。
Perplexityの反論
SquareXの研究者Kabilan Sakthivel氏は、業界が進化させてきた厳格なセキュリティ管理を順守しないことは、「Chrome、SafariやFirefoxなどのベンダーが確立した数十年にわたるブラウザセキュリティの原則を逆行させるものだ」と述べています。
しかしPerplexityは異議を唱え、広報担当Jesse Dwyer氏がTechRadar Proに送った書面で「この報告は完全に虚偽だ」と述べています。
同社はまた、この脆弱性はComet Assistantではなく人間が操作する必要があり、開発者モードを有効にする必要があると付け加えました。
「これを再現するには、人間のユーザーが開発者モードをオンにし、手動でマルウェアをCometにサイドロードする必要があります」と述べています。
また、Cometがローカルシステムへのアクセスにユーザーの同意を明示的に取得していないという指摘についても「完全な誤り」だとしています。
「ローカルMCPをインストールする際にはユーザーの同意が必要です――ユーザー自身がセットアップし、MCP APIを呼び出します。実行するコマンドもユーザーが正確に指定します」とDwyer氏は記しています。「MCPからの追加コマンド(例:AIツールの呼び出し)も、すべてユーザーの確認が必要です。」
さらにPerplexityは、SquareXが「隠しAPI」と呼ぶものは「単にCometがローカルでMCPを実行できる仕組み」であり、事前に許可とユーザー同意を得ていると説明しています。
「これはSquareXによる2度目の虚偽セキュリティリサーチの発表です。最初のものも当社が虚偽であることを証明しました」と強調しました。
Dwyer氏はまた、SquareXが主張するような報告書の提出はなかったと主張。「代わりに、Googleドキュメントへのリンクだけが送られてきて、説明もなく、アクセス権もありませんでした。当社はGoogleドキュメントを開けない旨を伝え、アクセス権をリクエストしましたが、返答もなくアクセス権も付与されませんでした。」
SquareXも反論
しかし、SquareXも引き下がっていません。
同社はまた、PerplexityがCometに「サイレントアップデート」を行い、同じPOCが現在「Local MCP is not enabled」と返すようになったことを確認したと述べています。
さらに、外部の研究者3名が攻撃を再現し、Perplexityが数時間前に修正したと主張しています。
「これはセキュリティの観点から素晴らしいニュースであり、当社の研究がAIブラウザの安全性向上に貢献できたことを嬉しく思います」とSquareXは結論付け、VDP提出に対するPerplexityからの返答はなかったと付け加えました。
