La société de recherche AI Perplexity est confrontée à un examen minutieux après que le fabricant de navigateurs rivaux Brave a découvert une vulnérabilité de sécurité majeure dans son nouveau navigateur de comète AI. Divulguée le 20 août, la faille autorisée pour les attaques”insistantes d’injection indirecte”, où les commandes cachées sur une page Web pourraient détourner l’assistant de l’IA pour voler les données utilisateur sensibles d’autres onglets.
La découverte met en évidence les défis de sécurité émergents des”navigateurs d’agents”qui peuvent agir sur un nom de l’utilisateur, en perversant potentiellement en supprimant les protoches de longueur longue masse. Alors que Perplexity a déclaré que la vulnérabilité était fixe, l’équipe de sécurité de Brave affirme que la solution de l’entreprise est toujours incomplète, laissant les utilisateurs potentiellement en danger.
Discovery d’un rival: comment les invites cachées peuvent détourner un assistant AI
la vulnérabilité, Détaillé dans un article de blog technique par Brave , est un puissant exemple d’injection rapide indirecte. Les attaquants peuvent intégrer des instructions malveillantes, souvent cachées comme texte invisible ou derrière des étiquettes de spoiler, dans le contenu d’un site Web apparemment bénin, comme un commentaire sur les réseaux sociaux.
Lorsque COMET a-t-il AISK Comme résumer la page, le navigateur alimente le contenu de la page-y compris les instructions cachées et malveillantes-directement à son modèle de langue sous-jacente. L’IA, incapable de distinguer les commandes utilisateur de confiance du contenu Web non fiable, exécute ensuite les invites malveillantes.
Pour démontrer la gravité, les chercheurs de Brave ont créé une attaque de preuve de concept sur une page Reddit. Les instructions cachées ont commandé l’IA de Comet pour naviguer vers le compte de perplexité de l’utilisateur, extraire leur e-mail, accéder à leur onglet Gmail, trouver un mot de passe ponctuel et exfiltrer les informations d’identification en les publiant vers Reddit.
Cette méthode transforme efficacement l’IA en une menace initiale, une attaque”confuse”confuse”classique. Il fonctionne avec les privilèges complets de l’utilisateur et les sessions authentifiées. Cela contourne les mesures de sécurité traditionnelles comme Politique de même d’origine (SOP) Et Partage des ressources d’origine transversale (CORS) , qui sont conçus pour empêcher les sites malveillants d’interagir avec les autres.
Une correction contestée et une divulgation publique
Le calendrier de divulgation révèle un dos contenu entre les deux sociétés. Brave a d’abord signalé la faille à la perplexité le 25 juillet 2025. Perplexity a reconnu le rapport et a déployé une solution initiale deux jours plus tard.
Après une communication supplémentaire, la vérification finale de Brave le 13 août a suggéré que le problème a été résolu, ouvrant la voie à une divulgation publique coordonnée le 20 août. Pourtant, dans une mise à jour critique, Brave a ajouté plus tard une note à son article indiquant que”la perplexité n’a toujours pas entièrement attiré la position officielle de la perplexité.”Dans une déclaration Jesse Dwyer, responsable des communications de Perplexity, a affirmé: «Cette vulnérabilité est fixée. Nous avons un programme de primes assez robuste, et nous avons travaillé directement avec Brave pour l’identifier et le réparer», une position maintenant contestée ouvertement par les chercheurs qui ont trouvé le défaut. Un tel désaccord public sur une vulnérabilité en direct est inhabituel et soulève des questions sur la sécurité des utilisateurs.
Un modèle de percussion de sécurité au milieu de la croissance agressive
Cet incident n’est pas un événement isolé, mais fait partie d’un schéma plus large de sécurité et de préoccupations éthiques entourant l’expansion rapide de la perplexité. En avril 2025, un audit de sécurité d’AppKnox a étiqueté l’application Android de l’entreprise comme dangereuse, citant de nombreuses défauts critiques qui pourraient conduire au vol de données.
À l’époque, le PDG d’Appknox Subho Halder a averti: «Nos tests mettent en évidence les vulnérabilités critiques dans l’ingénierie de perplexité et l’expose des utilisateurs à une variété de Risk l’application. La société a également été accusée à plusieurs reprises d’acquisition de données contraires à l’éthique. Cloudflare a récemment présumé que Perplexity utilise des «robots furtifs» pour contourner les règles du site Web et gratter le contenu contre les souhaits des éditeurs.
Dans son rapport, ils ont conclu: «… nous observons le comportement rampant furtif de la perplexité… protocoles. Ces controverses ont jeté une ombre sur la stratégie de marché agressive de Perplexity, qui comprend un récent programme d’éditeur de partage des revenus, une superbe offre de 34,5 milliards de dollars pour Google Chrome, et un partenariat pour alimenter le moteur de recherche Social de Truth Social de Donald Trump.
Le dilema de navigateur de l’agence: un nouveau dalle de la Sécurité Web
“Browsers agentiques.”Au fur et à mesure que les assistants de l’IA évoluent de simples chatbots en agents autonomes qui peuvent effectuer des tâches complexes et en plusieurs étapes au nom d’un utilisateur, ils créent une nouvelle surface d’attaque formidable que l’infrastructure actuelle du Web n’est pas conçue pour gérer.
Les chercheurs de Brave affirment qu’un changement architectural fondamental est nécessaire pour sécuriser ces bulleurs de nouvelle génération. Ils proposent plusieurs atténuations clés, notamment la stricte séparation des instructions utilisateur du contenu Web non fiable et nécessitant une confirmation explicite de l’utilisateur pour toute action sensible, comme l’envoi d’un e-mail ou l’accès à un gestionnaire de mot de passe.
En outre, ils suggèrent d’isoler les capacités agentiques puissantes à partir de séances de navigation régulières pour empêcher les utilisateurs de déclencher accidentellement une commande malveillante. Alors que l’industrie se précipite pour intégrer une IA plus puissante dans les outils de tous les jours, cet incident souligne que la sécurité et la vie privée ne peuvent pas être une réflexion après coup dans le nouveau Web propulsé par l’IA.
