Una falla de seguretat al navegador amb IA Comet, desenvolupat per Perplexity, ha estat descoberta per experts en ciberseguretat.
El problema permet a atacants robar informació confidencial, com dades vinculades a serveis de correu i calendari, aprofitant-se de l’execució de prompts ocults a través d’enllaços disfressats.
L’atac, conegut com a CometJacking, revela com eines basades en intel·ligència artificial es poden convertir en vectors de risc si no s’apliquen controls adequats.
L’atac anomenat CometJacking explota una vulnerabilitat molt específica al navegador Comet.
Investigadors detallen que l’ofensiva opera injectant prompts maliciosos en enllaços aparentment legítims. Quan un usuari fa clic en un d’aquests enllaços, la intel·ligència artificial integrada al navegador executa una ordre oculta per a l’usuari.
Aquesta ordre accedeix a dades personals i les transfereix directament al servidor de l’atacant, sense que la víctima percebi anomalies durant la navegació.
Michelle Levy, experta de seguretat a LayerX, subratlla la gravetat del problema en assenyalar: “no es tracta només de robar dades; és sobre segrestar l’agent que ja té les claus”. L’atac converteix el navegador en un actor intern hostil que utilitza els privilegis i l’accés a serveis connectats, incloses aplicacions com ara Gmail i Calendar.
El procediment es desenvolupa en cinc fases: primer, la víctima rep un enllaç maliciós, ja sigui en campanyes de pesca per correu electrònic o distribuïts en llocs web. En fer clic, l’enllaç no porta l’usuari a la destinació desitjada, sinó que activa un prompt secret dins del navegador. Aquest procés dóna com a resultat la sostracció d’informació personal, que és enviada automàticament als sistemes controlats pels atacants, i genera un risc potencial tant per a individus com per a organitzacions.
Tot i la gravetat de les troballes, Perplexity va minimitzar l’impacte assenyalant que la vulnerabilitat reportada no presenta un “impacte en la seguretat”.
Aquest enfocament contrasta amb els advertiments dels experts en ciberseguretat, que insisteixen en la necessitat urgent de revisar els protocols i els mecanismes de supervisió davant dels anomenats prompts maliciosos, ja que els navegadors amb AI poden transformar-se en veritables punts de control encoberts dins de xarxes empresarials, organismes públics i domicilis particulars.