0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

ИИ-агенты зашли не в ту дверь. История о том, как Perplexity случайно создала идеального шпиона

leer en español

Perplexity Comet Zenity Labs агентный браузер утечка данных prompt-инъекция кибербезопасность
ИИ-агенты зашли не в ту дверь. История о том, как Perplexity случайно создала идеального шпиона
Perplexity Comet Zenity Labs агентный браузер утечка данных prompt-инъекция кибербезопасность

Оказалось, что привычные способы защиты совершенно бесполезны против такой хитрой уловки.

image

Специалисты показали, как агентный браузер Comet от компании Perplexity позволял получить доступ к локальным файлам пользователя и незаметно передать содержимое на внешний сервер. Атака не требовала кликов или дополнительных действий со стороны жертвы — достаточно было обычного приглашения на встречу в календаре.

Команда Zenity Labs описала сценарий, получивший название PerplexedComet. Исследование показало, что автономные браузеры со встроенным ИИ способны выполнять действия от имени пользователя и интерпретировать задачи, объединяя запрос пользователя с содержимым веб-страниц. В таком режиме внешние данные фактически становятся инструкциями для системы. При определённых условиях подобная логика позволила злоумышленнику заставить браузер выполнять действия, которые пользователь не планировал.

В демонстрации атаки использовали приглашение на встречу в календаре. С виду приглашение выглядело обычным — заголовок, описание встречи и участники. Однако внутри описания скрыли дополнительные инструкции. Когда пользователь просил Comet принять приглашение, браузер анализировал содержимое события и выполнял дальнейшие шаги автоматически.

Через так называемую косвенную инъекцию подсказок злоумышленник направлял действия агента. Браузер переходил на внешний сайт, где размещались дополнительные инструкции. Далее Comet открывал локальную файловую систему через путь file://, просматривал каталоги, находил указанный файл и считывал содержимое.

После чтения файла браузер переходил на внешний адрес, принадлежащий злоумышленнику, и передавал данные как параметр URL. Со стороны браузера подобная операция выглядела как обычная загрузка страницы. В некоторых сценариях предупреждение появлялось уже после отправки данных, а в отдельных случаях не показывалось вовсе.

Атака не использовала классическую уязвимость программного кода. Comet действовал в рамках собственных возможностей — анализировал содержимое, строил план выполнения задачи и выполнял шаги от имени пользователя. Проблема возникала из-за того, что система смешивала намерения пользователя и инструкции из внешнего контента.

Авторы отчёта сообщили о проблеме разработчикам Perplexity ещё 22 октября 2025 года. Компания признала уязвимость критической и выпустила исправление. В коде браузера ввели жёсткое ограничение — агенту запретили автоматически переходить по адресам file:// и получать доступ к локальной файловой системе. Дополнительно ужесточили требования подтверждения для конфиденциальных операций.

Проверка, завершённая в феврале 2026 года, подтвердила эффективность изменений. Представленный сценарий атаки больше не работает. По словам авторов исследования, появление агентных браузеров меняет модель угроз: ИИ-системы не только читают веб-контент, но и выполняют действия, поэтому любое внешнее содержимое может влиять на их поведение и запускать неожиданные процессы.