Критические уязвимости безопасности обнаружены в AI-браузере

Home Критические уязвимости безопасности обнаружены в AI-браузере
perplexity уязвимость

Критические уязвимости безопасности обнаружены в AI-браузере Perplexity Comet: скрытый MCP API позволяет полный захват устройства и выполнение команд

Исследователи безопасности SquareX раскрыли критическую уязвимость скрытого системного MCP API в AI-браузере Perplexity Comet. Недокументированный API позволяет выполнять произвольные команды на устройстве пользователя, обходить песочницу браузера и получать полный системный доступ без согласия пользователя. В материале — технический анализ, сценарии атак и рекомендации по защите корпоративных сред.

Краткое резюме: недокументированный API системного уровня подрывает модель безопасности браузеров

Исследователи SquareX сообщили о критических уязвимостях в AI-браузере Perplexity Comet, которые нарушают фундаментальные принципы архитектуры безопасности веб-браузеров.

В ходе анализа был обнаружен скрытый, недокументированный API Model Context Protocol (MCP), встроенный в Comet. Этот API позволяет расширениям браузера выполнять произвольные локальные команды на устройстве пользователя — то, что традиционные браузеры жёстко запрещают для защиты от атак.

Главная угроза заключается в следующем:

API можно вызвать напрямую со страницы perplexity.ai, что открывает путь к удалённому выполнению команд через:

  • XSS-атаки,
  • атаки «man in the middle» (MitM),
  • вредоносные расширения,
  • компрометацию инфраструктуры Perplexity,
  • внутренние угрозы.

Этот отчёт содержит глубокий технический разбор, Proof-of-Concept-демонстрации, оценку бизнес-рисков и рекомендации для корпоративных команд безопасности.

Архитектура браузера Perplexity Comet и модель безопасности

Что такое Perplexity Comet и почему его безопасность критична

Perplexity Comet — это AI-браузер нового поколения, ориентированный на выполнение задач в автоматическом режиме, а не просто отображение веб-страниц. Он способен:

  • анализировать и суммировать контент,
  • выполнять многошаговые задачи по простым голосовым и текстовым командам,
  • взаимодействовать с несколькими сайтами и приложениями,
  • работать с локальными файлами,
  • принимать решения и выполнять действия автономно.

Comet позиционируется как инструмент премиум-класса (до $200 в месяц), объединяющий функциональность браузера и AI-агента.

Такой подход нарушает традиционную модель изоляции браузера и создаёт новые угрозы, не характерные для Chrome, Firefox или Safari.

Скрытая архитектура расширений: Analytics и Agentic

Comet поставляется с двумя встроенными и невидимыми пользователю расширениями:

1. Analytics

Собирает телеметрию и данные об использовании.

2. Agentic

Управляет автономными действиями искусственного интеллекта.

Оба расширения:

  • не отображаются в chrome://extensions,
  • не могут быть отключены,
  • работают полностью скрыто,
  • обладают расширенными привилегиями.

Это формирует «теневые» компоненты, над которыми нет контроля — ни со стороны пользователя, ни со стороны корпоративной безопасности.

Технический анализ: уязвимость API Model Context Protocol (MCP)

Архитектурный дефект: обход песочницы браузера

В классической модели безопасности браузер и его расширения ограничены песочницей:

  • они не могут запускать системные процессы,
  • не могут выходить за пределы разрешений API,
  • не могут читать или менять файлы без разрешения,
  • не могут выполнять произвольный код.

Perplexity Comet нарушает все эти принципы.

MCP API предоставляет:

  • выполнение произвольных команд ОС,
  • запуск приложений и скриптов,
  • чтение и запись в локальную файловую систему,
  • неограниченные сетевые запросы,
  • возможность изменять системные настройки.

API был найден в коде расширения Comet Analytics и скрыт под пространством имён chrome.perplexity, чего не существует в стандартной кодовой базе Chromium.

Поверхность атаки: как MCP API может быть использован злоумышленниками

1. Подмена расширений (Extension Stomping)

Злоумышленник создаёт расширение с тем же ID, маскируя его под встроенное Analytics.
Поскольку встроенные расширения скрыты, пользователь не увидит подмену.

2. XSS-атаки на perplexity.ai

Одной XSS-дыры достаточно, чтобы внедрить JavaScript, который:

  • вызывает MCP API,
  • запускает команды ОС,
  • получает системный доступ.

3. MITM-атаки (Man-in-the-Middle)

Атакующий, находящийся между пользователем и Perplexity, может подменить содержимое страниц и вызвать MCP API.

4. Компрометация Perplexity

Если инфраструктура Perplexity будет взломана, злоумышленники получат доступ ко всем браузерам Comet в мире.

5. Атаки на цепочку поставок

Если сторонние расширения получат доступ к API, они смогут захватывать устройства пользователей Comet.

Демонстрация атаки (PoC): запуск программы-вымогателя WannaCry

SquareX провели Proof-of-Concept, полностью подтвердив эксплуатацию уязвимости.

Цепочка атаки выглядела так:

  1. Загрузка поддельного расширения Analytics.
  2. Внедрение JavaScript на страницу Comet.
  3. Запуск встроенного Agentic.
  4. Вызов MCP API для выполнения команды.
  5. Запуск WannaCry на компьютере жертвы.

И важно:
XSS и MITM позволяют сделать то же самое без каких-либо локальных действий пользователя.

Сценарии эксплуатации в реальном мире

1. Корпоративный шпионаж

Злоумышленник может:

  • скачивать документы,
  • делать скриншоты,
  • перехватывать клавиатурный ввод,
  • устанавливать бэкдоры,
  • перемещаться по сети предприятия.

2. Массовое заражение ransomware

Достаточно внедрить вредоносный JavaScript на популярную страницу Perplexity.

3. Государственные кибероперации

Comet становится идеальным инструментом удалённого наблюдения:

  • скрытый мониторинг,
  • доступ к конфиденциальным системам,
  • сбор данных,
  • захват учётных записей.

Бизнес-риски для корпоративных пользователей

Информационная безопасность

  • полный компрометирующий доступ к системе;
  • утечки данных;
  • обход средств защиты;
  • нарушение GDPR, HIPAA, SOX и других стандартов.

Операционная устойчивость

  • ransomware без участия пользователя,
  • невозможность восстановить систему,
  • риск остановки критических сервисов.

Юридические и репутационные последствия

  • утечки клиентских данных,
  • штрафы за несоблюдение регуляций,
  • судебные иски.

Корпоративная реакция на AI-браузеры

Эксперты отмечают, что большинство компаний:

  • относят AI-браузеры к теневым IT,
  • запрещают их использование в корпоративной сети,
  • требуют строгой проверки перед внедрением,
  • предпочитают проверенные браузеры с устойчивыми моделями безопасности.

Ответ Perplexity

После раскрытия SquareX компания:

  • тихо отключила MCP API в обновлении,
  • не сообщила о деталях патча,
  • не опубликовала документацию,
  • не дала гарантий, что проблема решена.

Исследователи считают, что реакция недостаточная.

Стратегии митигации для корпоративных команд безопасности

1. Оцените текущее использование Comet

  • определить все установки,
  • проанализировать журналы действий,
  • оценить риски утечки данных.

2. Усильте контроль доступа

  • запретить запуск несанкционированных браузеров,
  • изолировать устройства с Comet,
  • фильтровать трафик,
  • применять Zero Trust.

3. Обучите сотрудников

  • объяснить риски AI-браузеров,
  • установить правила выбора браузеров,
  • внедрить канал для сообщений о странном поведении.

4. Разработайте долгосрочный фреймворк для проверки AI-приложений

С обязательными требованиями:

  • внешние аудиты,
  • анализ API,
  • документированность функций,
  • прозрачность и контроль расширений,
  • процедуры реагирования на инциденты.

Будущее безопасности AI-браузеров

Появление недокументированного MCP API демонстрирует:

  • AI-браузеры отличаются от традиционных моделей безопасности,
  • спешка внедрения новых функций приводит к рискам,
  • необходимы новые стандарты безопасности,
  • пользователи должны иметь полный контроль над расширениями и API.

До появления независимых аудитов и прозрачной архитектуры AI-браузеры остаются высокорисковыми решениями для корпоративных сред.