Vulnerabilidade grave afeta Perplexity Comet

há 5 dias 8

Pesquisadores da LayerX identificaram uma vulnerabilidade crítica no navegador Comet, desenvolvido pela Perplexity, que pode transformar o assistente de IA integrado em uma ferramenta involuntária de exfiltração de dados. O ataque, denominado CometJacking, permite que criminosos explorem um único link malicioso para roubar informações sensíveis sem precisar de phishing tradicional ou páginas maliciosas.

O vetor de ataque manipula parâmetros de URL para inserir instruções diretamente no sistema de consulta da IA, explorando a integração do navegador com serviços conectados, como Gmail e Google Calendar. Diferente de explorações comuns, o CometJacking utiliza o relacionamento de confiança entre o usuário e o navegador inteligente, contornando medidas de segurança por meio de codificação de comandos.

Segundo os pesquisadores, o ataque ocorre em cinco etapas e começa quando a vítima clica em um link aparentemente inofensivo. Esse link contém parâmetros ocultos que instruem o Comet a acessar a memória do usuário e extrair dados de e-mails, agendas e contatos. Os dados são então codificados em base64 — técnica usada para mascarar o conteúdo — e enviados via requisição POST para um servidor controlado pelo invasor.

Durante testes de prova de conceito, o CometJacking conseguiu extrair conteúdo de e-mails e informações de calendários corporativos sem qualquer interação adicional do usuário. A LayerX informou a falha à Perplexity em 27 de agosto de 2025, mas a empresa inicialmente classificou o problema como “sem impacto de segurança”.

O incidente evidencia os novos riscos trazidos pelos navegadores com IA integrada, que ampliam a superfície de ataque ao permitir acesso automatizado a dados pessoais e corporativos. Especialistas alertam que o modelo de segurança tradicional precisa evoluir para detectar e bloquear injeções maliciosas de prompts antes que se tornem ataques em larga escala.

Ler artigo completo