Investigadores de seguridad de Brave han identificado una vulnerabilidad significativa en el navegador Comet de Perplexity que permite a los atacantes secuestrar al asistente de IA mediante una técnica de inyección indirecta de prompts. Este fallo permite a actores malintencionados saltarse las medidas de seguridad web convencionales al insertar comandos ocultos que la IA ejecuta sin el consentimiento del usuario.
Artem Chaikin, ingeniero sénior de seguridad móvil en Brave, lideró la investigación junto con Shivan Kaul Sahib, vicepresidente de Privacidad y Seguridad. El equipo descubrió que Comet no distingue entre las peticiones legítimas del usuario y el contenido no fiable extraído de la web. Cuando un usuario solicita a la IA que resuma una página, esta procesa cada elemento del sitio como si fuera una instrucción.
El funcionamiento del ataque
Los atacantes pueden ocultar instrucciones maliciosas dentro del contenido web utilizando técnicas como texto blanco sobre fondo blanco, comentarios HTML o comentarios generados por usuarios en plataformas sociales como Reddit. Cuando la IA procesa estas páginas, sigue los comandos ocultos como si fueran solicitudes directas del usuario.
En una demostración de concepto, los investigadores de Brave mostraron cómo este exploit podría derivar en la toma de control total de una cuenta. Al insertar instrucciones en una publicación de Reddit, un atacante logró que la IA de Comet navegara hasta la configuración de la cuenta de Perplexity del usuario, extrajera su dirección de correo electrónico y obtuviera una contraseña de un solo uso desde su cuenta de Gmail. Posteriormente, la IA envió esta información confidencial al atacante.
"El ataque demuestra lo sencillo que resulta manipular a los asistentes de IA para que realicen acciones que estaban bloqueadas por técnicas de seguridad web consolidadas desde hace tiempo", señalaron los investigadores en su informe. Esta vulnerabilidad pone de relieve una desconexión fundamental en el diseño actual de la IA con capacidad de agencia, que a menudo trata los datos externos como información de confianza.
Brave comunicó estos hallazgos a Perplexity para abordar los riesgos que plantean los agentes de navegación autónomos. A medida que los navegadores avanzan hacia el uso de IA para realizar tareas complejas, como reservar vuelos o gestionar inicios de sesión, el potencial de filtración de datos aumenta. La investigación sirve como advertencia: sin un aislamiento estricto entre el contenido web y los comandos a nivel de sistema, los agentes de IA podrían convertirse en canales para el robo de credenciales.
