Ataque "CometJacking" sequestra navegador de IA da Perplexity

Pesquisadores de cibersegurança revelaram detalhes de uma nova e furtiva técnica de ataque nomeada CometJacking, que explora o navegador nativo de inteligência artificial (IA) Comet da Perplexity. O ataque, que atua como uma forma sofisticada de injeção de prompt, transforma o navegador de IA de um assistente confiável em um ladrão de dados ao injetar comandos maliciosos em um link aparentemente inócuo.

Ao ser clicado, este link habilmente criado sequestra o assistente de IA incorporado ao navegador para desviar dados confidenciais do usuário. O perigo é potencializado pelo fato de o Comet ter acesso autorizado a serviços conectados como e-mail (Gmail) e calendário, eliminando a necessidade de o hacker roubar credenciais.

O CometJacking é ativado quando a vítima clica em uma URL especialmente criada, que pode ser enviada por meio de um e-mail de phishing ou incorporada a uma página web maliciosa. Em vez de levar o usuário ao destino esperado, a URL secreta instrui a IA do navegador a executar um prompt oculto.

"O CometJacking mostra como uma única URL, transformada em arma, pode silenciosamente transformar um navegador de IA de um copiloto confiável em uma ameaça interna", alertou Michelle Levy, chefe de pesquisa de segurança da LayerX, empresa responsável pela descoberta.

O ataque contorna as proteções de dados da Perplexity usando truques triviais de codificação Base64 para ofuscar o comando. O processo ocorre em cinco etapas: a URL usa o parâmetro collection do navegador para instruir o agente a consultar sua memória (onde os dados conectados residem), captura as informações (como e-mails ou eventos de calendário), codifica-as em Base64 e as transmite para um servidor sob controle do invasor.

"Não se trata apenas de roubar dados; trata-se de sequestrar o agente que já possui as chaves," disse Levy. A LayerX enfatiza que navegadores nativos de IA exigem segurança por design para o acesso à memória e para os prompts do agente, e não apenas para o conteúdo da página, visando prevenir esse tipo de sequestro.

Embora a Perplexity tenha classificado as descobertas como "sem impacto na segurança", o incidente mais uma vez lança luz sobre os novos riscos de segurança introduzidos por ferramentas nativas de IA. Esses riscos podem contornar as defesas tradicionais e permitir que hackers comandem a IA para roubar dados, transformando o navegador em um ponto de comando e controle dentro do perímetro de uma organização.

Este não é o primeiro ataque do tipo. Em agosto de 2024, a Guardio Labs divulgou uma técnica chamada Scamlexity, na qual hackers podiam enganar navegadores como o Comet para interagir com páginas de phishing ou lojas online falsificadas sem a intervenção humana.

Or Eshed, CEO da LayerX, alertou: "Os navegadores de IA são o próximo campo de batalha empresarial. Quando um invasor consegue direcionar seu assistente com um link, o navegador se torna um ponto de comando e controle dentro do perímetro da empresa."