Zenity Labsのセキュリティ研究者らは、Perplexityの「エージェント型」Cometブラウザの重大な脆弱性を発見しました。攻撃者は武装化されたGoogleカレンダー招待を通じて、機密のローカルファイルを盗むことができます。
「PerplexedBrowser」と呼ばれ、Zenityの「PleaseFix」ファミリーの一部であるこの脆弱性は、macOS、Windows、AndroidのCometに影響していました。
Bugcrowdで重大度P1として評価されており、「この会議を受け入れる」というシンプルなリクエスト以上の追加ユーザークリックなしに、AIエージェントが招待を処理する方法を悪用していました。
攻撃は「意図衝突」に依存しており、CometのAIはユーザークエリを招待内に隠された悪意のある指示と混合していました。
処理されると、エージェントは攻撃者制御のサイトにアクセスし、file://パスを通じてファイルを読み込み、URLクエリパラメータに内容を埋め込んで外部サーバーにデータを流出させました。Awesomeagents AIによって指摘されたとおり、クレジットは研究者Stav CohenおよびMichael Barguyに与えられます。
最終パッチは2月11日に到着し、120日間のプロセス後の2月13日に有効であることが確認されました。
チェーンは、正当な名前、役職、詳細を備えた現実的に見えるカレンダー招待で始まりました。攻撃者は、大きな空白セクション、偽のHTML要素、およびプレビュー中に見落とされるような内部ガイダンスを模倣する「システムリマインダー」ブロックに指示を隠していました。
CometのエージェントがユーザーリクエストのようにProcessする場合、「この招待を処理する」などのリクエストと一緒に隠されたテキストが攻撃者のサイトへのナビゲーションをトリガーしました。
英語の安全フィルターを回避するためにヘブライ語で書かれた第2段階のプロンプトは、ファイルアクセスを「検出」として再構成しました。
エージェントはディレクトリを横断し、file:// URLを通じて機密ファイル(設定、APIキー、認証情報)を開き、データ満載のURLを通じて流出させました。
さらに悪質なバリアントは1Password拡張機能をターゲットにしていました。ロック解除されている場合、エージェントはボールトエントリを露出させ、乗っ取りを支援する可能性がありますが、MFAは多くの場合、完全な侵害をブロックします。
Cometをすぐに更新してください。可能な限りAIエージェントのファイルアクセスを無効にします。厳密なコンテンツサンドボックスを実施してください。MFAは1Passwordのような拡張機能を保護します。
より広いリスク:ローカル権限を持つAIエージェントが信頼されていない入力を処理することは主要なターゲットです。異常なURLナビゲーションとカレンダー異常を監視してください。
翻訳元: https://cyberpress.org/perplexity-ai-comet-browser-hijacked/