ИИ-браузер Comet заставили воровать письма из Gmail и другие данные — в Perplexity только отмахнулась

Исследователи в сфере кибербезопасности из компании LayerX реализовали новую атаку CometJacking, позволяющую похищать конфиденциальные данные пользователей, такие как письма Gmail и события календаря, через ИИ-браузер Comet от Perplexity. Для успешной атаки не требуются учётные данные жертвы или её активные действия — метод использует скрытые инструкции, внедрённые в параметры URL, заставляя ИИ обходить встроенную защиту и передавать информацию на внешние серверы.

Метод CometJacking был разработан исследователями LayerX, которые направили отчёт о проблеме компании Perplexity в конце августа. Однако, как сообщает BleepingComputer, разработчик ИИ-браузера отказался признавать наличие уязвимости, отметив оба отчёта — от 27 августа (промпт-инъекция) и от 28 августа (выгрузка данных) как «неприменимые».

Суть метода заключается в инъекции вредоносных команд через параметр collection в строке запроса URL, обрабатываемой Comet. По данным LayerX, внедрённый промпт заставляет ИИ-агент обращаться не к веб-поиску, а к собственной памяти и подключённым сервисам, что позволяет злоумышленнику извлекать доступные данные. В ходе тестов исследователи получили доступ к сообщениям Gmail и приглашениям Google Calendar, после чего вредоносная инструкция предписывала закодировать чувствительную информацию в формат base64 и отправить её на внешний сервер, контролируемый атакующим. Comet выполнил эти действия, миновав все проверки безопасности Perplexity.

В реальном сценарии злоумышленник может распространять вредоносную ссылку через электронную почту или размещать её на часто посещаемых веб-страницах. Специалисты отмечают, что хотя Perplexity реализовала меры защиты от прямой передачи конфиденциальных данных, эти механизмы не учитывают случаи, когда информация намеренно маскируется или кодируется перед отправкой. В своём исследовании они продемонстрировали, как экспорт чувствительных полей в закодированном виде (base64) эффективно обходит проверку на выгрузку данных. Кроме кражи информации, CometJacking может использоваться и для выполнения активных действий от имени жертвы, например, отправки писем с аккаунта или поиска файлов в корпоративной среде.

Напомним, Comet представляет собой агентный ИИ-браузер, способный автономно выполнять веб-запросы и, в зависимости от предоставленных разрешений, помогать пользователям управлять электронной почтой, совершать покупки, заполнять формы или бронировать билеты.

Несмотря на выявленную эффективность атаки, команда безопасности Perplexity заявила, что «после анализа отчёта не выявила никакого влияния на безопасность», назвав уязвимость «простой промпт-инъекцией без последствий». Издание BleepingComputer также обратилось к Perplexity с запросом о возможном пересмотре оценки риска CometJacking, однако на момент публикации ответа не получено. Ранее и компания Guardio Labs обнаружила существенные пробелы в безопасности браузера, однако его популярность продолжает расти.