Zenity Details Perplexity AI Browser Vulnerability
2026/03/03 SecurityBoulevard — Perplexity が開発した Comet AI ブラウザに対して、ゼロクリック攻撃が可能であることを Zenity が詳述している。同社は、AI アプリケーションと AI エージェントのセキュリティを確保するための、プラットフォームを提供する企業である。Zenity の CTO である Michael Bargury によると、PerplexedComet と命名された攻撃ベクターを悪用する攻撃者は、コンテンツの制御を可能にするという。その結果、接続されたツール/ワークフロー全体において、自律的な動作が引き起こされる恐れがある。
PerplexedComet は、AI ブラウザに存在する PleaseFix 脆弱性群の一部である。この攻撃チェーンは無害に見えるカレンダー招待の送信から始まる。ユーザーが Comet に対し会議承諾を依頼すると、その後のフローは追加操作なしに実行される。
続いて、信頼されたカレンダー・コンテンツ内部に埋め込まれた、間接的プロンプト・インジェクションにより Comet が操作され、ローカル・ファイル・システムへのアクセスが実行される。具体的には、ディレクトリ閲覧と機密ファイルのオープンと読み取りが実行され、その内容が外部の攻撃者が制御する Web サイトへと送信される。
この脆弱性 PerplexedComet は、2025年10月の時点で Perplexity へ報告されている。その結果として 2026年2月に、Comet ブラウザに対して厳格な境界制御が実装され、この攻撃チェーンは防止されることになった。
しかし Michael Bargury は、これら間接的プロンプト・インジェクション攻撃は、多様な AI エージェント実行モデルを悪用できるものだと述べている。統合ワークフロー内で、ツール呼び出しが行われる際に形成される信頼境界が標的となる。
この攻撃が危険な理由は、エクスプロイト不要/ユーザークリック不要/ワークフロー侵害に対して、明示的な要求が不要な点にある。
AI ブラウザがタスクの文脈を受け入れた時点で、ファイルおよび データへのアクセス が付与される。それに対する検知は、遅延して発生する場合もあれば、まったく発生しない場合もある。
PerplexedComet 攻撃の例として確認されているのは、Comet が警告を表示したが、すでにデータが送信済みであった事例である。別の事例では、攻撃チェーンが完全にバックグラウンドで実行され、警告は表示されなかった。
効果的な防止策は、明示的な許可を得ていない AI ブラウザ/AI エージェントによる、ツールやサービスへのアクセスを防止するための、強固な境界を設けることである。
しかし AI ブラウザ/AI エージェントは、多くのセキュリティ・チームによるポリシー定義の完了を待つことなく、きわめて速いスピードで導入されている。
セキュリティ・チームにとって必要なことは、AI ブラウザ/AI エージェントのコンフィグを再評価し、特定の機能を制限することである。間接的プロンプト・インジェクション攻撃の構築が容易であるという現状が、依然として広く認識されていない点に問題がある。
AI ブラウザ/AI エージェントに起因する大規模なセキュリティ・インシデントが発生しない限り、本質的なリスクが十分に理解されない可能性もある。その一方で、継続的な小規模侵害の累積が転換点となる可能性もある。
確実なことは、AI エージェント/AI ブラウザの普及により、あらゆるリソースへの即時アクセス可能となる時代において、セキュリティの確保/維持が一層困難になるという点である。
AI ブラウザ Perplexity Comet において、ゼロクリックで機密情報を盗み取られる、攻撃手法 PerplexedComet の詳細が公表されました。この問題の原因は、外部から届くカレンダー招待状などのデータを AI が処理する際に、その中に隠された悪意の命令を正当な指示と区別できずに実行してしまう、間接的プロンプト・インジェクションという仕組みにあります。
この攻撃では、無害に見えるカレンダー通知を AI が読み取っただけで、裏側でファイル・システムへのアクセスが許可され、保存されているデータが外部へと送信されてしまいます。AI ブラウザは利便性を高めるために、ファイル操作や外部ツールとの連携といった高い権限を持っています。しかし、その信頼の境界線が曖昧だったことで、攻撃プログラムを使うことなく、システムの操作が可能になっていました。
この種の攻撃は、他の AI エージェント/AI ブラウザでも起こり得る共通の課題です。よろしければ、Prompt Injection での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.