O navegador de IA Comet foi forçado a roubar e-mails do Gmail e outros dados, e o Perplexity simplesmente ignorou.

Pesquisadores de segurança cibernética da LayerX implementaram um novo ataque de CometJacking que permite o roubo de dados confidenciais do usuário, como e-mails do Gmail e eventos do calendário, por meio do navegador Comet AI da Perplexity. O ataque não exige as credenciais ou ações ativas da vítima — ele usa instruções ocultas incorporadas em parâmetros de URL, enganando a IA para que ela ignore as proteções integradas e transmita informações para servidores externos.

Fonte da imagem: Perplexity

O método CometJacking foi desenvolvido por pesquisadores da LayerX, que enviaram um relatório de vulnerabilidade à Perplexity no final de agosto. No entanto, como relata o BleepingComputer, o desenvolvedor do navegador de IA negou a vulnerabilidade, marcando ambos os relatórios — de 27 de agosto (injeção de prompt) e 28 de agosto (despejo de dados) — como “inaplicáveis”.

O método envolve a injeção de comandos maliciosos por meio do parâmetro collection na string de consulta de URL processada pelo Comet. De acordo com a LayerX, o prompt injetado força o agente de IA a acessar sua própria memória e serviços conectados em vez de uma busca na web, permitindo que o invasor extraia os dados acessíveis. Durante os testes, os pesquisadores obtiveram acesso a mensagens do Gmail e convites do Google Agenda, após o que a instrução maliciosa instruiu o invasor a codificar informações confidenciais em formato base64 e enviá-las a um servidor externo controlado pelo invasor. O Comet executou essas ações ignorando todas as verificações de segurança do Perplexity.

Em um cenário real, um invasor poderia distribuir um link malicioso por e-mail ou incorporá-lo em páginas da web visitadas com frequência. Os pesquisadores observam que, embora a Perplexity tenha implementado proteções contra a transferência direta de dados confidenciais, esses mecanismos não levam em conta os casos em que as informações são intencionalmente mascaradas ou criptografadas antes de serem enviadas. Em sua pesquisa, eles demonstraram como a exportação de campos confidenciais em formato codificado (base64) contorna efetivamente as verificações de despejo de dados. Além de roubar informações, o CometJacking também pode ser usado para executar ações ativas em nome da vítima, como enviar e-mails de uma conta ouBusca de arquivos em ambiente corporativo.

Como lembrete, o Comet é um navegador de IA baseado em agentes, capaz de executar consultas na web de forma autônoma e, dependendo das permissões, ajudar os usuários a gerenciar e-mails, fazer compras, preencher formulários ou reservar voos.

Apesar da eficácia do ataque, a equipe de segurança da Perplexity declarou que “após analisar o relatório, não encontramos nenhum impacto na segurança”, chamando a vulnerabilidade de “uma simples injeção instantânea sem consequências”. O BleepingComputer também contatou a Perplexity sobre uma possível revisão da avaliação de risco do CometJacking, mas não havia recebido uma resposta até o momento da publicação. O Guardio Labs já havia descoberto falhas de segurança significativas no navegador, mas sua popularidade continua crescendo.