Palo Alto, Kalifornija, 2025. gada 19. novembris, CyberNewsWire
SquareX izlaida kritisku pētījumu, atklājot Comet slēpto API, kas ļauj AI pārlūkprogrammas paplašinājumiem izpildīt vietējās komandas un iegūt pilnīgu kontroli pār lietotāju ierīcēm. Pētījums atklāj, ka Comet ir ieviesusi MCP API (chrome.perplexity.mcp.addStdioServer), kas ļauj tās iegultajiem paplašinājumiem izpildīt patvaļīgas lokālas komandas lietotāju ierīcēs, kas ir iespējas, ko tradicionālās pārlūkprogrammas nepārprotami aizliedz. Attiecībā uz MCP API ir ierobežota oficiālā dokumentācija. Esošā dokumentācija aptver tikai funkcijas nolūku, neatklājot, ka Comet iegultajiem paplašinājumiem ir pastāvīga piekļuve API un iespēja patvaļīgi palaist vietējās lietotnes bez lietotāja atļaujas, radot masveida lietotāju uzticības un pārredzamības pārkāpumu.
“Jau desmitiem gadu pārlūkprogrammu pārdevēji ir ievērojuši stingras drošības kontroles, kas neļauj pārlūkprogrammām un jo īpaši paplašinājumiem tieši kontrolēt pamata ierīci,” skaidro Kabilans Saktivels, SquareX pētnieks. “Tradicionālajām pārlūkprogrammām ir nepieciešamas vietējās ziņojumapmaiņas API ar skaidriem reģistra ierakstiem un lietotāja piekrišana jebkurai vietējai sistēmai. Lai panāktu, ka pārlūkprogramma ir efektīvāka, Comet ir apiejusi visus šos drošības pasākumus, izmantojot slēptu API, par kuras esamību lielākā daļa lietotāju pat nenojauš. Šī lietotāju uzticības samazināšanās būtiski apgriež pulksteņa rādītājus pārdevēja Safardori drošības principiem, piemēram, pārlūkprogrammas Chrome gadu desmitiem, ko izveidojuši Safardori drošības principi.”
Pašlaik API ir atrodama Agentic paplašinājumā, un to var aktivizēt lapa perplexity.ai, izveidojot slēptu kanālu Comet, lai piekļūtu vietējiem datiem un palaistu patvaļīgas komandas/lietotnes bez lietotāja kontroles. Lai gan nav pierādījumu, ka Perplexity pašlaik ļaunprātīgi izmanto MCP API, jautājums nav par to, vai Perplexity tiks apdraudēts, bet kad tas tiks apdraudēts. Atsevišķa XSS ievainojamība, veiksmīgs pikšķerēšanas uzbrukums Perplexity darbiniekam vai iekšējās informācijas apdraudējums nekavējoties nodrošinātu uzbrucējiem bezprecedenta kontroli, izmantojot pārlūkprogrammu, pār katru Comet lietotāja ierīci. Tas rada katastrofālu trešās puses risku, ja lietotāji ir nodevuši savas ierīces drošību Perplexity drošības pozīcijai, taču nav viegli novērtēt vai mazināt risku.
SquareX uzbrukuma demonstrācijā pētnieku komanda izmantoja paplašinājuma apturēšanu, lai slēptu ļaunprātīgu paplašinājumu kā iegulto Analytics paplašinājumu, viltojot tā paplašinājuma ID. Pēc sānu ielādes ļaunprātīgais Analytics paplašinājums ievada skriptu lapā perplexity.ai, kas savukārt izsauc aģenta paplašinājumu, kas beidzot izmanto MCP, lai upura ierīcē izpildītu WannaCry. Lai gan demonstrācijā tika izmantota paplašinājumu apturēšana, citas metodes, piemēram, XSS, MitM tīkla uzbrukumi, kas izmanto perplexity.ai vai iegultos paplašinājumus, var arī novest pie tāda paša rezultāta.
Vēl satraucošāk ir tas, ka abi paplašinājumi ir ļoti svarīgi Comet aģenta funkcionalitātei, tāpēc Perplexity ir paslēpusi tos Comet paplašinājuma informācijas panelī, neļaujot lietotājiem tos atspējot pat tad, ja tie ir apdraudēti. Šie iegultie paplašinājumi kļūst par “slēptu IT”, kuru drošības komandas vai lietotāji nevar redzēt. Turklāt dokumentācijas trūkuma dēļ nav iespējams zināt, vai un kad Comet varētu paplašināt piekļuvi citām “uzticamām” vietnēm.
Lai gan citām AI pārlūkprogrammām ir arī iegulti paplašinājumi, MCP API pagaidām esam atraduši tikai Comet. Mēs esam atklājuši uzbrukumu uzņēmumam Perplexity, taču neesam dzirdējuši atbildi.
Līdzīgi kā operētājsistēmā un meklētājprogrammā, daudzu tehnoloģiju uzņēmumu galvenais mērķis vienmēr ir bijusi platforma, kurā notiek lielākā daļa mūsdienu darbu. Izmantojot AI, tagad ir iespēja padarīt pārlūkprogrammas jaudīgākas nekā jebkad agrāk. Tomēr, cīnoties par uzvaru nākamajā pārlūkprogrammu karā, daudzi AI pārlūkprogrammu uzņēmumi piegādā funkcijas tik ātri, ka par to ir jāmaksā atbilstoša dokumentācija un drošības pasākumi.
MCP API izmantošana kalpo kā agrīns brīdinājums par trešo pušu riskiem, kuriem lietotājus var pakļaut slikta AI pārlūkprogrammu ieviešana. “Ierīču vadības API agrīna ieviešana AI pārlūkprogrammās ir ārkārtīgi bīstama,” uzsver SquareX dibinātājs Viveks Ramachandrans. “Mēs būtībā redzam, ka pārlūkprogrammu pārdevēji piešķir sev un, iespējams, trešajām pusēm, tāda veida sistēmas līmeņa piekļuvi, kam būtu nepieciešama skaidra lietotāja piekrišana un drošības pārbaude jebkurā tradicionālajā pārlūkprogrammā. Lietotāji ir pelnījuši zināt, kad programmatūrai ir šāda līmeņa kontrole pār viņu ierīcēm.”
Ja lietotāji un drošības kopiena nepieprasa atbildību, citas AI pārlūkprogrammas sacentīsies, lai ieviestu līdzīgas vai invazīvākas iespējas, lai saglabātu konkurētspēju. SquareX aicina AI pārlūkprogrammu pārdevējus pieprasīt visu API izpaušanu, veikt trešās puses drošības auditus un nodrošināt lietotājiem kontroli, lai atspējotu iegultos paplašinājumus. Tas nav tikai viens API vienā pārlūkprogrammā. Ja nozare šobrīd nenosaka robežas, mēs radām precedentu, kurā AI pārlūkprogrammas var apiet gadu desmitiem ilgušos drošības principus, izmantojot inovācijas.
Demonstrācijas video: https://youtu.be/qJl4XllT-9M
Papildinformāciju lietotāji var iegūt tehniskajā emuārā.
Par SquareX
SquareX pārlūkprogrammas paplašinājums pārvērš jebkuru pārlūkprogrammu jebkurā ierīcē par uzņēmuma līmeņa drošu pārlūkprogrammu, tostarp AI pārlūkprogrammām. SquareX nozarē pirmais pārlūkprogrammas noteikšanas un reaģēšanas (BDR) risinājums sniedz organizācijām iespēju aktīvi aizsargāties pret pārlūkprogrammas vietējiem draudiem, tostarp negodīgiem AI aģentiem, pēdējās jūdzes atkārtotas montāžas uzbrukumiem, ļaunprātīgiem paplašinājumiem un identitātes uzbrukumiem. Atšķirībā no specializētajām uzņēmuma pārlūkprogrammām, SquareX nemanāmi integrējas ar lietotāju esošajām patērētāju pārlūkprogrammām, nodrošinot drošību, neapdraudot lietotāja pieredzi. Lietotāji var uzzināt vairāk par SquareX pētniecības virzīto inovāciju vietnē www.sqrx.com.
Sazināties
PR vadītājs
Junice Liew
SquareX
[email protected]
