Security gap in Perplexity’s Comet browser exposed users to system-level attacks
2025/11/20 HelpNetSecurity — Perplexity が開発した AI 搭載 エージェント・ブラウザ Comet に深刻なセキュリティ上の問題が存在すると、SquareX の研究者たちが述べている。Comet の MCP API には、ブラウザに内蔵されているがユーザーには表示されないエクステンションが存在する。そこからユーザーのデバイスへ向けて、直接コマンドを発行することが可能であるため、その機能を攻撃者が悪用できると指摘されている。Comet は、ローカル・システム上でのアプリケーションの実行や、ファイルの読み取り、データの変更などを可能にしている。このレベルのアクセスは、”旧式” ブラウザではブロックされるのが通常であるが、一部の AI 搭載ブラウザは、この分離層を無効化していると研究者たちは指摘している。
問題はどこに?
SquareX が発見したのは、ブラウザ・エクステンション・パネルに表示されない、2つのビルトイン・エクステンションである “Comet Analytics” と “Comet Agentic” である。これらのエクステンションはユーザーから実質的に隠されており、ユーザーによる無効化も不可能だ。
研究者たちは、「調査の結果として分かったのは、Comet Agentic がホスト・マシン上で任意のコマンドを実行できる、MCP API (chrome.perplexity.mcp.addStdioServer) を備えていることだ。現時点において、どちらのエクステンションも perplexity.ai のサブドメインとのみ通信が可能であり、MCP API へのアクセスは、これらのサブドメインに制限されている。しかし、公式ドキュメントの公開が制限されており、MCP API の使用方法や、他の信頼できるサイトへの拡張や、今後の拡張などが一切不明である」と述べている。
したがって攻撃者が、”perplexity.ai” ドメイン、あるいは、対象となるエンベッド・エクステンションへのアクセスを取得した場合に、たとえば XSS 攻撃や MitM ネットワーク攻撃などが生じる可能性が否定できない。つまり、MCP API を介した被害者のデバイスの制御/マルウェアのインストール/データの窃取/ユーザー・アクティビティの監視などが可能になるかもしれない。
研究者たちは、「攻撃者はエクステンション・ストンプにより Comet Analytics アプリを偽装し、同様の機能を実現する可能性がある。つまり、ブラウザの開発者用コンソールから Analytics エクステンションのマニフェスト・キーを取得し、それを悪用することで、偽装 ID を持つ悪意のエクステンション作成が可能になる」と指摘している。
彼らは、「悪意のエクステンションは、オリジナルである Analytics エクステンションの全権限を継承し、”perplexity.ai” ページに悪意のスクリプトを挿入する。挿入されたスクリプトは、そのコマンドを Agentic エクステンションに受け渡す。そして Agentic エクステンションは指示に従い、MCP API を呼び出してランサムウェアを実行する」と攻撃シナリオについて説明している。
Perplexity の反応
研究チームの指摘は、現時点での Perplexity には MCP API を悪用している証拠はないが、エクステンションの確認や無効化が不可能であることから、ユーザーを危険にさらす可能性があるというものだ。
2025年11月4日の時点で、SquareX から Perplexity に対して、この発見について通知が行われたが、それ以降において、何のフィードバックも生じていないようだ。しかし、11月中旬に SquareX のレポートが公開された後に、Perplexity が MCP API を無効化するサイレント・アップデートをプッシュしたと指摘されており、この攻撃手段が封じられたことになる。
API の無効化が、Comet ブラウザの機能に与える影響は不明だが、それが顕著なら、ブラウザ・ユーザーからフィードバックが寄せられるとみられる。
SquareX の Head of Security Research である Nishant Sharma は、「MCP API はローカル・コマンドの実行だけに使用されるため、ブラウザ内で MCP API を使用しない他のエージェント・ワークフローは引き続き動作する。繰り返しになるが、ドキュメントが不足しているため、いくつかのサンプル・ユースケースを除いて、MCP API の本来の用途は不明である」と、Help Net Security に語っている。
Nishant Sharma によると、このアップデート/パッチは、現時点では正式に公表されておらず、Perplexity の今後の対応は不透明だという。彼は、「同社はセキュリティ・コミュニティの責任あるメンバーであり、この脆弱性を認識した後に、ユーザーに開示することなく API を再有効化することはないと信じている」と述べている。
SquareX は Perplexity に対し、ローカル MCP を無効化し、この機能についてユーザーに通知し、オプトアウトの選択肢を提供するよう提案している。
研究者たちによると、他社の AI ブラウザもエージェント機能を有効にするために、エンベッド・エクステンションに依存しているが、これまでのところ確認されたのは、Comet 内の MCP API のみであるという。
セキュリティ境界の変更?
AI 搭載 ブラウザは、ユーザーに代わってタスクを実行できるが、従来のブラウザよりもシステムの深層までのアクセスを可能にし始めている。AI アシスタントが、クリックや入力/プログラムの起動/ローカル・ファイルとのやり取りを行えるようになると、従来からのサンドボックス・モデルが脆弱に見え始める。
イノベーションへのプレッシャーが新たな機能をもたらす一方で、予期しない形での攻撃対象領域の拡大が、ユーザー自身により進められていく。
SquareX は、「今すぐに境界を確立しなければ、数十年をかけて考えられてきたセキュリティ原則が、イノベーションを掲げる AI ブラウザにより回避され、それが前例となってしまう」と警告している。
Help Net Security は Perplexity にコメントを求めており、回答が得られ次第、この記事を更新する予定だ。
Comet に組み込まれたエクステンションと MCP API が、見えないところで強すぎる権限を持っていると解説する記事です。ユーザーが確認も無効化もできない機能が、ローカルでのコマンド実行まで許してしまう設計は、とても危ういです。また、公式ドキュメントが少なく、何ができて何が制限されているのか分かりにくい点も、不安を大きくしているように思います。AI がパイプでつながることで、さまざまな恩恵がもたらされますが、そのパイプが侵害されると甚大な被害が生じると、この記事は指摘しています。よろしければ、Comet での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.