Pesquisadores em cibersegurança revelaram detalhes de um novo ataque chamado CometJacking, que tem como alvo o navegador de IA agentic Comet, desenvolvido pela Perplexity.
A técnica consiste em inserir prompts maliciosos em um link aparentemente inocente para extrair dados sensíveis, incluindo informações de serviços conectados como email e calendário.
Esse ataque de prompt injection acontece quando a vítima clica em um link especialmente criado, desencadeando um comportamento inesperado no navegador sem que ela perceba.
A partir daí, o agente de IA do Comet é manipulado para roubar dados valiosos.
“CometJacking demonstra como uma única URL maliciosa pode transformar silenciosamente um navegador de IA, antes confiável, em uma ameaça interna,” afirmou Michelle Levy, Head de Segurança da LayerX, em comunicado à The Hacker News.
“Não se trata apenas de roubar dados, mas de sequestrar o agente que já possui as chaves de acesso.
Nossa pesquisa mostra que técnicas simples de obfuscação conseguem driblar os controles de exfiltração e extrair informações de email, calendário e conectores com apenas um clique.
Navegadores nativos de IA precisam de segurança integrada para prompts e acesso à memória, não só para o conteúdo das páginas.”
O ataque em si sequestra o assistente de IA embutido no navegador para roubar dados, driblando as proteções da Perplexity por meio de truques simples de codificação Base64.
Diferentemente de outros ataques, não há roubo de credenciais, já que o navegador já possui acesso autorizado a Gmail, Calendar e outros serviços conectados.
O golpe ocorre em cinco etapas, ativadas quando a vítima clica em um link malicioso que pode chegar via phishing ou estar incluído em uma página web.
Ao invés de direcionar o usuário ao destino esperado, a URL instrui a IA do Comet a executar um prompt oculto que captura dados do usuário, por exemplo do Gmail, os codifica em Base64 e envia as informações para um servidor controlado pelo atacante.
Esse link manipulado utiliza o parâmetro "collection" na query string para comandar o navegador a acessar sua memória interna em vez de realizar uma busca online, garantindo a execução do ataque.
Embora a Perplexity tenha declarado que essas descobertas não representam “impacto de segurança”, o caso mostra novamente como ferramentas nativas de IA introduzem novos riscos.
Elas conseguem contornar defesas tradicionais, permitindo que hackers as controlem para fins maliciosos, expondo usuários e empresas a roubo de dados.
Em agosto de 2020, o Guardio Labs já havia divulgado uma técnica chamada Scamlexity, que permitia a atores mal-intencionados enganar navegadores como o Comet para interagir silenciosamente com páginas de phishing ou lojas falsas, sem a participação direta do usuário.
“Os navegadores de IA serão o próximo grande campo de batalha nas empresas,” alerta Or Eshed, CEO da LayerX.
“Quando um atacante pode direcionar seu assistente com um link, o navegador vira um ponto de comando e controle dentro da rede corporativa.
As organizações precisam agir rápido, adotando controles que detectem e bloqueiem prompts maliciosos antes que esses testes de prova de conceito se transformem em campanhas massivas.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...