はじめに:Cometブラウザの隠された危険性
2025年11月19日、サイバーセキュリティ企業SquareXは衝撃的な調査結果を発表しました。AIブラウザ「Comet」に搭載されている「隠されたAPI」(MCP API: chrome.perplexity.mcp.addStdioServer)が悪用されると、ユーザーのデバイスが完全に制御される可能性があると警告しています。このAPIは、従来のブラウザが厳格に禁止してきたローカルコマンドの実行を、AIブラウザの拡張機能に許してしまうものです。
MCP APIの機能と問題点
SquareXの調査によると、CometブラウザのこのMCP APIは、組み込みの拡張機能が任意のローカルコマンドをユーザーのデバイス上で実行することを可能にします。これまでのブラウザでは、このようなローカルシステムへのアクセスには、明示的なレジストリ登録とユーザーの同意が必要なネイティブメッセージングAPIが用いられてきました。
しかし、このMCP APIに関する公式ドキュメントは非常に限られており、Cometの組み込み拡張機能がユーザーの許可なくローカルアプリケーションを起動する永続的なアクセス権を持っていることが明記されていません。これはユーザーの信頼と透明性に対する重大な違反であると指摘されています。
従来のブラウザセキュリティ原則との乖離
SquareXの研究者Kabilan Sakthivel氏は、「数十年にわたり、ブラウザベンダーはブラウザ、特に拡張機能が基盤となるデバイスを直接制御することを防ぐ厳格なセキュリティ管理を遵守してきました」と説明しています。Cometは、より強力なブラウザを目指す中で、隠されたAPIを用いてこれらの保護策をすべて回避してしまいました。これは、Chrome、Safari、Firefoxなどのブラウザが確立してきたセキュリティ原則を逆行させるものです。
潜在的な脅威とリスク
現在、このAPIは「Agentic」拡張機能に存在し、perplexity.aiページによってトリガーされる可能性があります。これにより、Cometはユーザーの制御なしにローカルデータにアクセスし、任意のコマンドやアプリを起動する秘密のチャネルが生まれてしまいます。
SquareXは、Perplexityが現在MCP APIを悪用している証拠はないとしながらも、「Perplexityがいつ侵害されるか」の問題だと強調しています。単一のXSS脆弱性、Perplexity従業員に対するフィッシング攻撃、または内部関係者の脅威が、Cometユーザーのデバイスに対する前例のない制御を攻撃者に与える可能性があります。これは、ユーザーがデバイスのセキュリティをPerplexityのセキュリティ体制に委ねてしまい、リスクを評価または軽減する簡単な方法がないという、壊滅的なサードパーティリスクを生み出します。
隠された拡張機能とユーザーの可視性の欠如
さらに懸念されるのは、Cometの「Agentic」拡張機能と「Analytics」拡張機能が、Cometの拡張機能ダッシュボードから隠されており、ユーザーがこれらの拡張機能を無効にできないことです。これは、これらの拡張機能が侵害された場合でも対処できないことを意味します。これらの組み込み拡張機能は、セキュリティチームやユーザーが全く可視性を持たない「隠されたIT」となっています。
業界への呼びかけ
SquareXの創設者Vivek Ramachandran氏は、「AIブラウザにおけるデバイス制御APIの早期実装は極めて危険です」と警告しています。「私たちは本質的に、ブラウザベンダーが自らに、そして潜在的にサードパーティに、従来のブラウザでは明示的なユーザーの同意とセキュリティレビューが必要となるようなシステムレベルのアクセスを許可しているのを見ています。」
SquareXは、AIブラウザベンダーに対し、すべてのAPIの開示、第三者によるセキュリティ監査、および組み込み拡張機能を無効にするためのユーザーコントロールの提供を求めています。これは単一のブラウザの単一のAPIに関する問題にとどまらず、業界が今、境界を確立しなければ、AIブラウザがイノベーションの名の下に数十年にわたるセキュリティ原則を回避する前例を作ってしまうことになります。