「CometJacking」と呼ばれる新しい攻撃手法は、URLパラメータを悪用してPerplexityのComet AIブラウザに隠された指示を渡し、メールやカレンダーなどの接続されたサービスから機密データへアクセスできるようにします。
現実的なシナリオでは、認証情報やユーザーの操作は一切必要なく、攻撃者は細工された悪意のあるURLを標的ユーザーに公開するだけで、この攻撃を利用できます。
Cometは自律的にウェブを閲覧できるエージェント型AIブラウザで、アクセス権限に応じて、メール管理、特定商品のショッピング、フォーム入力、チケット予約など様々なタスクでユーザーを支援できます。
このツールには依然として重大なセキュリティ上の隙間が存在しますが、Guardio Labsが最近の調査で示したように、利用率は着実に増加しています。
CometJacking攻撃手法はLayerXの研究者によって考案され、8月下旬にPerplexityへ報告されました。しかし、AI企業側は「問題は特定されなかった」として、この報告を「該当なし」とマークしました。
CometJackingの仕組み
CometJackingはプロンプトインジェクション攻撃であり、Comet AIブラウザが処理するクエリ文字列に、URLの「collection」パラメータを使って悪意のある指示が追加されます。
LayerXの研究者によると、このプロンプトはエージェントにウェブ検索ではなく、メモリや接続サービスを参照するよう指示します。AIツールが様々なサービスに接続されているため、CometJacking手法を利用する攻撃者は利用可能なデータを流出させることができます。
彼らのテストでは、接続サービスとアクセス可能なデータにはGoogleカレンダーの招待やGmailメッセージが含まれており、悪意のあるプロンプトには機密データをbase64でエンコードし、外部エンドポイントへ流出させる指示が含まれていました。
研究者によれば、Cometは指示通りに動作し、情報を攻撃者が管理する外部システムへ送信し、Perplexityのチェックを回避しました。
出典: LayerX
現実的なシナリオでは、攻撃者は細工したCometJackingのURLをメールでターゲットに送信したり、クリックされやすいウェブページ上に設置したりできます。
「Perplexityはユーザーメモリの直接的な流出を防ぐためのセーフガードを実装していますが、データが意図的に難読化またはエンコードされてブラウザから離れる場合には、その保護は対応していません」とLayerXは説明しています。
「私たちの概念実証テストでは、機密フィールドをエンコード(base64)してエクスポートすることで、プラットフォームの流出チェックを効果的に回避し、既存のセーフガードを発動させずにエンコードされたペイロードを転送できることを示しました。」
研究者らはまた、CometJackingはデータ窃取に限らず、同じ手法でAIエージェントに被害者のアカウントからメールを送信させたり、企業環境でファイルを検索させたりするよう指示できるとも指摘しています。
この攻撃は非常にシンプルでありながら、Cometユーザーの知らないうちに機密データを盗み出すのに非常に効果的です。しかし、AIブラウザの開発元はLayerXの懸念を共有しておらず、8月27日(プロンプトインジェクション)と8月28日(データ流出)に提出された報告はいずれも却下されました。
「ご報告内容を確認しましたが、セキュリティ上の影響は特定できませんでした」とPerplexityのセキュリティチームは述べています。
「これは単純なプロンプトインジェクションであり、何ら影響を及ぼすものではありません。そのため、該当なしとマークされました」
BleepingComputerもPerplexityに対し、この評価を再考する予定があるか、またはCometJackingリスクへの対応を行わない決定をしたのか問い合わせていますが、現時点で返答は得られていません。
