È stato ribattezzato CometJacking il nuovo vettore di attacco che prende di mira l’AI del browser Comet di Perplexity per comandarla ad estrarre ed esfiltrare dati presenti nella sua memoria o nei servizi connessi.

Questo è il cuore della scoperta pubblicata da LayerX, secondo cui basta una singola URL costruita ad hoc, senza pagine web malevole né download, per ingannare l’intelligenza artificiale del browser di Perplexity.

Di fatto, è sufficiente cliccare su un link apparentemente innocuo per vedere il nostro assistente personale digitale, quello che ha accesso alla posta, al calendario e ai documenti riservati, diventare all’improvviso un mezzo per inviare tutte queste informazioni sensibili a un server controllato da un attaccante.

CometJacking, come nasce la vulnerabilità

I cosiddetti browser “agentic” come Comet non sono semplici visualizzatori di pagine ma sono assistenti che possono essere autorizzati a operare su risorse personali quali Gmail e Google Calendar.

La caratteristica che rende possibile il CometJacking è quindi la capacità di inizializzare conversazioni e istruzioni direttamente tramite parametri nelle query di una vista (view URL).

Fonte: LayerX.

In pratica, manipolando questi parametri, un attaccante potrebbe forzare l’assistente a leggere dalla propria memoria e a trattare quei contenuti come fonte primaria di informazione invece di limitarsi a leggere solo i dati della pagina visualizzata.

Questo modus operandi se compiuto con successo espanderebbe di fatto il perimetro d’attacco in quanto non si tratterebbe più solo di ingannare l’utente, ma di dialogare direttamente con un agente che possiede permessi e accessi.

La dinamica dell’attacco CometJacking

Come descritto da LayerX, l’avversario invia o induce l’utente a cliccare su una URL che incorpora un prompt e parametri speciali, fra cui l’uso di un parametro di “collection” che spinge l’agente AI del browser Comet a consultare la memoria.

L’istruzione potrebbe richiedere all’assistente di raccogliere contenuti, per esempio e-mail o eventi di calendario, di codificarli in base64, e quindi di inviare il risultato via POST a un endpoint esterno controllato dall’attaccante.

“Sebbene Perplexity implementi misure di sicurezza per impedire l’esfiltrazione diretta di memoria utente sensibile, tali protezioni non affrontano i casi in cui i dati vengono deliberatamente offuscati o codificati prima di uscire dal browser”, spiega Aviad Gispan Senior Researcher di LayerX.

Fonte: LayerX.

Questa decodifica inganna dunque i controlli anti-esfiltrazione, in quanto il comando dell’attaccante essendo codificato in base64 viene considerato come testo innocuo, consentendo di superare i controlli di sicurezza esistenti.

Al riguardo, LayerX ha realizzato un PoC (Proof-of-Concept) che dimostra la dinamica dell’attacco dimostrando come le contromisure attive di Perplexity, basate sulla separazione tra dati di pagina e memoria utente, possano essere aggirate tramite l’offuscamento in base64.

Sebbene la fattibilità pratica dipenda da più fattori (la presenza di connettori abilitati, i privilegi dell’assistente, il modo in cui l’utente interagisce) il PoC evidenzia un rischio reale e potenzialmente replicabile in altri modelli di AI browser.

Un problema più grave del phishing tradizionale

Nella tipologia di attacco descritta non è necessario rubare credenziali né convincere l’utente a inserire password.

L’agente è già autenticato e autorizzato a operare sui servizi a cui l’utente ha concesso l’accesso.

Questo cambia radicalmente il punto di vista dell’attacco perché il vettore diventa l’assistente stesso, che può essere costretto a eseguire operazioni attive sullo spazio autorizzato, incluse la lettura massiva di contenuti, l’invio di messaggi a terzi o la ricerca di file aziendali.

Si capisce bene come una singola interazione compromessa possa così consentire movimenti laterali e impersonificazioni varie senza richiedere il furto di credenziali o exploit particolari.

“Questo attacco non si limita al solo furto di dati. Un agente di intelligenza artificiale compromesso potrebbe potenzialmente ricevere istruzioni per inviare e-mail per conto dell’utente, cercare file nelle unità aziendali connesse o eseguire qualsiasi altra azione autorizzata”, continua Aviad Gispan.

Affrontare CometJacking richiederà contromisure multiple. Le difese tecniche dovrebbero includere la sanitizzazione rigorosa dei parametri URL, la validazione delle view URL, l’analisi comportamentale delle richieste di esfiltrazione e l’inserimento di controlli che impediscano l’offuscamento quando applicata a campi sensibili.

Sul piano operativo è invece indispensabile formare gli utenti e le squadre IT sull’esistenza di questi rischi e aggiornare le policy di concessione permessi per connettori esterni e integrazioni AI.

La sfida è pertanto duplice, preservare la convenienza delle integrazioni AI senza trasformarle in un punto di ingresso privilegiato per attacchi sofisticati come quello descritto da LayerX.

LayerX fa sapere, infine, che ha seguito una procedura di disclosure responsabile comunicando le evidenze a Perplexity che in risposta, non avendo riscontrato alcun impatto sulla sicurezza, ha classificato la segnalazione come “Non applicabile”.