Уязвимость в AI-браузере Perplexity Comet позволяла красть пароли

Perplexity Comet, AI-браузер с агентами, оказался уязвим к атаке класса indirect prompt injection. Исследователи Zenity показали сценарий, где злоумышленник мог вытащить пароли и файлы без кликов и без запуска вредоносных программ.

Как работала PleaseFix и почему это «zero-click»

Команда Zenity назвала уязвимость PleaseFix. Это «zero-click» в практическом смысле: жертва не нажимает на подозрительные ссылки и не подтверждает «опасные» действия. Достаточно жить обычной жизнью и пользоваться Comet как помощником.

Корень проблемы в типичной боли AI-агентов: они плохо отделяют «данные» от «инструкций». Если агенту скормить набор данных, внутри которого спрятан промпт, он может выполнить его как команду. И пользователь об этом не узнает.

Сценарий атаки через календарь: приглашение выглядит обычным

Один из показательных сценариев — вредоносное приглашение в календарь. Оно может выглядеть как обычный созвон, интервью или встреча. Пользователь добавляет событие, а позже просит Comet «кратко пересказать» или помочь подготовиться.

Дальше агент читает содержимое события. И если внутри описания лежит скрытая инструкция, он выполняет ее в фоне. В демонстрации Zenity промпт заставлял агента искать на диске документы с названиями вроде «passwords» и вытаскивать найденное.

Кража данных могла затронуть и менеджеры паролей

Zenity также показали альтернативный сценарий. Та же техника позволяла эксфильтровать пароли, которые пользователь хранит в менеджере паролей. Важный момент — пользователь видит ожидаемую AI-сводку, а «грязная» работа уходит в фон.

По сути, в такой модели агент на минуту превращается в инсайдера. Он действует от лица пользователя и с его доступами. А атакующий подсовывает лишь текстовую инструкцию, замаскированную под обычные данные.

Что именно исправили в Comet

По информации Zenity, проблему закрыли после responsible disclosure. Исправление добавило жесткую границу для автономных действий агента. Она ограничивает доступ к путям file://.

• Что ограничили: агент больше не может переходить по URL, начинающимся с file://
• Что это дает: агент не читает локальную файловую систему, независимо от промпта
• Что осталось: пользователь по-прежнему может открывать file:// вручную, но агенту это запрещено

Почему эта история важна именно для AI-браузеров

PleaseFix хорошо показывает специфику AI-браузеров с «агентами». Раньше браузер в основном отображал страницы. Теперь он еще и действует: читает, суммирует, ищет, взаимодействует с контентом. И если у него есть доступ к локальным данным, цена ошибки резко растет.

Статус на момент публикации

Zenity подтверждают, что уязвимость исправили. Патч сводится к ограничению автономного доступа агента к file:// и локальной файловой системе. Других технических деталей о версиях и датах обновления в публичном описании не приводят.

Источники: Zenity