Безопасность агентного браузера Comet от Perplexity подверглась серьёзному испытанию. Исследователи продемонстрировали, как манипулированное календарное приглашение может обмануть браузер и привести к краже локальных файлов и захвату аккаунта 1Password.
Механизм атаки
Исследователи показали, что все что требуется для запуска атаки — это манипулированное календарное приглашение. Пользователь просто просит Comet обработать встречу, и с этого момента атака начинает действовать в фоновом режиме без дополнительного взаимодействия.
Календарные приглашения — это всего лишь один из возможных векторов. Аналогичная атака может быть проведена через электронную почту, документы, сайты или загруженные файлы. Единственное требование — чтобы Comet обрабатывал содержимое как часть делегированной задачи.
Первая атака: кража локальных файлов
В первой атаке инструкции, встроенные в приглашение, заставляют Comet просматривать директории, открывать чувствительные файлы и отправлять их содержимое на внешний сервер через URL-параметры. Для браузера это выглядит как обычный запрос страницы.
Вторая атака: захват аккаунта 1Password
Во второй, более серьёзной атаке Comet переходит в аутентифицированный Web Vault 1Password, ищет сохраненные записи, раскрывает пароли и отправляет их злоумышленнику. В эскалированной версии агент изменяет пароль аккаунта, извлекает адрес электронной почты и секретный ключ, позволяя полностью захватить аккаунт.
Причины уязвимости
Исследователи связывают появление этих атак с интеграцией 1Password в браузерную среду Comet, объявленной в сентябре 2025 года. Никаких традиционных программных уязвимостей не эксплуатируется — Comet действует в рамках своих задуманных возможностей, используя аутентифицированный контекст браузера пользователя.
Исследователи описывают это как "Коллизию намерений" — агент не может надёжно различить намерения пользователя и инструкции злоумышленника, поэтому объединяет их в единый план выполнения. Расширение 1Password усугубляет проблему: оно остаётся разблокированным до восьми часов по умолчанию и автоматически авторизует пользователя в веб-интерфейсе.
Технические детали атаки
Исследователи изучили системный промпт Comet и обнаружили, что агент использует структуру внутренне. Они использовали этот формат в манипулированном календарном приглашении, чтобы повысить приоритет своих инструкций.
Видимая часть приглашения содержит только безобидные детали встречи. Дальше, отделённые множеством пустых строк от видимой области, находятся настоящие инструкции. Исследователи добавили фейковый элемент кнопки с Node ID, который Comet интерпретирует как легитимный интерактивный UI-элемент.
Кроме того, они намеренно использовали смесь иврита, английского и повествовательной структуры. Шаги представлены в виде истории, где "Алиса просит своего ассистента о помощи". По словам исследователей, этот подход снижает вероятность того, что обобщённые механизмы безопасности отметят содержимое как вредоносное.
Реакция компаний
Zenity Labs сообщила об уязвимостях Perplexity и 1Password в октябре и ноябре 2025 года. Perplexity внедрила жёсткий блок, предотвращающий доступ Comet к file:// путям на уровне кода. Исследователи высоко оценили этот подход: Perplexity рассматривает агентский браузер как недоверенное существо и ограничивает его возможности в исходном коде, а не полагается на язык модели.
Однако Zenity нашла обходной путь через view-source:file:/// после первого патча, что вынудило Perplexity выпустить второй исправление в феврале 2026 года. Пользователи также могут блокировать чувствительные домены по адресу comet://settings/assistant.
1Password внёс опции для отключения автоматической авторизации и требований подтверждения перед заполнением паролей, а также опубликовал консультативное сообщение о безопасности. Обе компании отреагировали конструктивно, по мнению исследователей.
Заключение
Несмотря на то что жёсткий блок доступа к файловой системе Perplexity активен по умолчанию, защитные механизмы 1Password и Comet's доменной блокировки требуют ручной настройки пользователем. Те, кто не изменит эти настройки, остаются подвержены атакам.
MFA (многофакторная аутентификация) могла бы предотвратить полный захват аккаунта, но не извлечение отдельных записей из хранилища. Исследователи рекомендуют подход с минимальным доверием к агентским браузерам: минимальные права доступа и максимальное недоверие. Инъекция промптов — это нерешённая проблема, и по мере того как AI-системы получают больше автономии, атакующая поверхность продолжает расти.