概要
セキュリティ研究者らは、PerplexityのComet「アジェンティック」ブラウザに重大な脆弱性が存在することを明らかにしました。この脆弱性は、攻撃者がローカルファイルを盗むことを可能にするGoogleカレンダーの招待状を通じて悪用されます。
脆弱性の詳細
この脆弱性は「PerplexedBrowser」と呼ばれ、Zenity Labsの「PleaseFix」ファミリーに分類されています。この脆弱性は、macOS、Windows、AndroidのCometで影響を受けており、BugcrowdではP1(重大)と評価されています。
攻撃の手順
攻撃は、通常のリクエスト(例:「この会議に参加する」)を含むカレンダーの招待状から始まります。CometのAIエージェントが招待状を処理すると、攻撃者はエージェントを操作し、攻撃者が制御するコンテンツを開くことができます。これにより、ファイルパスを介してファイルを読み取り、外部サーバーにデータをエクスフィラートすることが可能になります。
攻撃の仕組み
攻撃は、合法的な名前や役職、会議の詳細を持つカレンダーの招待状から始まります。攻撃のトリックは、ユーザーが予約のプレビューを確認する際に見逃しがちな大きな空白部分に隠されたHTML要素や内部「システムリマインダー」のガイダンスを含む偽のHTML要素です。
Cometのエージェントが招待状を処理すると、攻撃者の隠しテキストがユーザーのリクエストと混ざり合い、「意図の衝突」と呼ばれる失敗モードが発生します。これにより、モデルは信頼できる意図と信頼できないコンテンツを正確に区別できなくなります。
次に、攻撃者はCometを攻撃者のウェブサイトに誘導し、バックグラウンドでアクションを実行するための手がかりを提供します。このサイトは、2段階目のプロンプトを提供し、ファイルアクセスを危害のない発見タスクとして再定義します。
最後に、エージェントは盗まれたコンテンツをURLのパラメータに含め、攻撃者のサーバーにナビゲートすることでデータをエクスフィラートします。
対応と修正
Zenityは2025年10月22日にこの脆弱性を報告し、Perplexityは2026年1月23日に初期の修正をリリースしました。しかし、Zenityは「view-source:file:///」というトリックでこれを回避しました。2番目のパッチは2月11日にリリースされ、2月13日に修正が確認され、120日間の開示プロセスが終了しました。
影響範囲
1Passwordがインストールされ、アンロックされている場合、エージェントは潜在的にセーフォルトエントリを露出し、アカウントの取り込み手順を支援する可能性があります。ただし、MFAは完全なアカウントの侵害を制限できます。
結論
この脆弱性は、信頼できないコンテンツを読み取る一方で強力なローカルまたはアカウントの権限を保持する任意のAIエージェントが、高価値のターゲットとなる可能性があることを示しています。
元記事: https://gbhackers.com/perplexitys-comet-browser-breached/