CometJacking：只需点击一下，Perplexity 的 Comet AI 浏览器就会变成数据窃贼

网络安全研究人员披露了一种名为CometJacking的新攻击的细节，该攻击针对 Perplexity 的代理 AI 浏览器 Comet，通过在看似无害的链接中嵌入恶意提示来窃取敏感数据，包括来自电子邮件和日历等连接服务的敏感数据。

这种偷偷摸摸的提示注入攻击以恶意链接的形式出现，当点击该链接时，会触发受害者不知情的意外行为。


LayerX 安全研究主管 Michelle Levy 在与 The Hacker News 分享的一份声明中表示：“CometJacking 展示了一个单一的、武器化的 URL 如何悄悄地将 AI 浏览器从值得信赖的副驾驶变成内部威胁。”

这不仅仅是窃取数据，而是劫持已经掌握密钥的代理。我们的研究证明，简单的混淆操作就可以绕过数据泄露检查，只需单击一下即可获取电子邮件、日历和连接器数据。AI 原生浏览器需要为代理提示和内存访问（而不仅仅是页面内容）进行安全设计。

DFIR 保留服务
简而言之，此次攻击劫持了浏览器中嵌入的AI助手以窃取数据，同时使用简单的Base64编码技巧绕过Perplexity的数据保护机制。由于浏览器已获得Gmail、日历和其他相关服务的访问权限，因此此次攻击不包含任何凭证窃取组件。

该攻击分为五个步骤，当受害者点击一个特制的 URL（该 URL 可能是通过钓鱼邮件发送的，也可能是网页上的 URL）时，攻击就会被激活。该 URL 不会将用户引导至“预期”的目的地，而是指示 Comet 浏览器的 AI 执行一个隐藏的提示，该提示会从 Gmail 等邮箱中捕获用户数据，使用 Base64 编码进行混淆，然后将信息传输到攻击者控制的终端。


精心设计的 URL 是针对 Comet AI 浏览器的查询字符串，其中使用 URL 的“collection”参数添加了恶意指令，导致代理查阅其内存而不是执行实时网络搜索。

尽管 Perplexity 将这些发现归类为“没有安全影响”，但它们再次凸显了人工智能原生工具如何引入新的安全风险，这些风险可以绕过传统防御措施，允许不良行为者征用它们来执行他们的命令，并在此过程中使用户和组织面临潜在的数据盗窃风险。

CIS 构建套件
2020 年 8 月，Guardio Labs 披露了一种名为Scamlexity的攻击技术，其中 Comet 等浏览器可能会被威胁行为者诱骗与网络钓鱼登录页面或伪造的电子商务店面进行交互，而无需人类用户知情或干预。

LayerX 首席执行官 Or Eshed 表示：“AI 浏览器是下一个企业战场。当攻击者可以通过链接操控你的助手时，浏览器就变成了公司内部的指挥控制点。在这些 PoC 成为大范围攻击活动之前，企业必须紧急评估能够检测并消除恶意代理提示的控制措施。”