A Perplexity „álhírként” utasította el a távoli kódvégrehajtás (RCE) kritikus sérülékenységi jelentését, még akkor is, ha a kutatók azt állítják, hogy a vállalat ezen a héten csendben befoltozta a hibát.
A SquareX kiberbiztonsági cég azt állítja, hogy a Comet böngésző dokumentálatlan MCP API-ja lehetővé tette a támadók számára, hogy megkerüljék a sandboxot, és
eltérítsék el a jelentős eszközöket. közvetett azonnali befecskendezési hibákat jelentettek augusztusban. Míg a Perplexity ragaszkodik ahhoz, hogy a kizsákmányolás valószínűtlen felhasználói beavatkozást igényel, a bizonyítékok arra utalnak, hogy a november 20-i csendes frissítés teljesen letiltotta a sebezhető funkciót.
’F.strong.
A SquareX kutatói 2025. november 4-én hivatalosan is benyújtották a sebezhetőségi jelentést a Bugcrowd Vulnerability Disclosure Program (VDP) programján keresztül. Ahelyett, hogy követték volna a szabványos iparági protokollokat, nyugtázták volna a jelentést, ellenőrizték volna a megállapításokat, és a kutatók jóváírását adták volna a javításhoz, a Perplexity válasza megkerülte a műszaki kötelezettségvállalást, és teljesen megkerülte a vállalatot.
támadás a kutatók hitelessége ellen. Jesse Dwyer szóvivő kategorikusan cáfolta a megállapítások érvényességét Ez a TechRadarnak adott nyilatkozata, miszerint „a második alkalommal a biztonsági okok” állítja. azt is bebizonyítottuk, hogy hamis.”
A Perplexity elsődleges védelme azon az állításon nyugszik, hogy a kizsákmányolás elméletileg lehetetlen rendkívüli felhasználói beavatkozás nélkül. Dwyer azzal érvelt, hogy „ennek megismétléséhez az emberi felhasználónak be kell kapcsolnia a fejlesztői módot, és manuálisan be kell töltenie a rosszindulatú programokat a Cometbe.”
Ennek az álláspontnak ellentmondva a SquareX azt állítja, hogy a sérülékenység a böngészőhöz mellékelt alapértelmezett beágyazott bővítményeken keresztül érhető el. A SquareX Labs szerint ezek a bővítmények nem igényeltek felhasználói beavatkozást, ha a böngészőt feltörték. E
. href=”https://www.helpnetsecurity.com/2025/11/20/perplexity-comet-browser-security-mcp-api/”target=”_blank”>egy csendes frissítést állítólag november 20-án vezettek be, amely néhány nappal a nyilvános elutasítás előtt letiltotta a vitatott MCP API-t. Az ilyen sürgős intézkedések komoly kérdéseket vetnek fel az átláthatósággal kapcsolatban. Ha a sérülékenység valóban „hamis”, a funkció azonnali letiltása ellentmondásosnak tűnik.
A SquareX fenntartja, hogy „a felhasználók már nincsenek kitéve az MCP API-n keresztüli kihasználásnak”. A nyilvánosságra hozatal ilyen módon történő kezelése élesen eltér az iparági normáktól, ahol a szállítók jellemzően az együttműködésen alapuló orvoslást részesítik előnyben a nyilvános vitákkal szemben.
A támadás anatómiája: a homokozó megtörése
A kutatók megállapításainak középpontjában egy nem dokumentált Model Context Protocol (MCP) áll. `chrome.perplexity.mcp.addStdioServer`.
Eltérően a hagyományos böngészőbővítményektől, amelyek szigorúan homokozóba vannak helyezve a rendszerszintű hozzáférés megakadályozása érdekében, ez az API állítólag lehetővé tette a beágyazott bővítményeknek tetszőleges helyi parancsok végrehajtását.
A SquareX nyilatkozata dokumentum kifejezetten meghatározta a hiba hatókörét:
„Kutatásunk feltárja, hogy a Comet olyan MCP API-t vezetett be, amely lehetővé teszi a beágyazott bővítmények tetszőleges helyi parancsok végrehajtását a gazdagépen kifejezett felhasználói engedély nélkül.”
A SquareX arra figyelmeztet, hogy ez az architektúra a Safari, a Firefox és a Chrome ilyen típusú API-jait hatékonyan megkerüli az Native Mesaging API korlátozásokat rendszerszintű kompromisszum.
A Comet alapértelmezés szerint két rejtett kiterjesztést tartalmaz, a `comet-agent` és a `comet-analytics`, amelyek nem láthatók a szabványos `comet://extensions` irányítópulton. A kutatók az „extension stomping” néven ismert technikát alkalmazták, hogy megszemélyesítsék ezeket a kiváltságos kiterjesztéseket, és hozzáférjenek az API-hoz.
A hiba súlyosságát demonstrálva a Proof-of-Concept (PoC) megmutatta, hogy képes elindítani a „Wannacry” ransomware-t egy gazdagépen. A böngésző elkülönítésének ilyen jelentős hibája a böngészőt passzív eszközből potenciális „bennfentes fenyegetéssé” alakítja, amely képes kódot futtatni a felhasználó teljes rendszerjogosultságaival.
A SquareX kutatói megjegyezték, hogy „az MCP API lényegében lehetővé teszi a mesterséges intelligencia böngésző gyártói számára, hogy teljes hozzáférést biztosítsanak az AI-böngésző gyártói számára, és a jövőben potenciálisan harmadik feleknek is teljes hozzáférést biztosítsanak az eszközökhöz. Elmúlások
Ez a Perplexity második jelentős biztonsági vitája az elmúlt hónapokban. Ez követi a Brave felfedezéséről szóló, a Comet „közvetett azonnali befecskendezéses” hibáival kapcsolatos korábbi jelentéseket az év elején.
Ezek az incidensek ismétlődő témája az „Agentic AI” – olyan böngészők, amelyek a felhasználó nevében tevékenykednek, és ütköznek a megállapított biztonsági határokkal.
Védelmében a Perplexity a Protokollhoz intézett nyilatkozatában hangsúlyozta:
“Helyi MCP-k telepítésekor szükségünk van a felhasználó beleegyezésére – a felhasználók állítják be és hívják meg az MCP API-t. Ők határozzák meg, hogy pontosan milyen parancsot kell futtatni.”
“Az MCP-től származó minden további parancshoz (pl. AI-eszközhívás) a felhasználó megerősítése is szükséges.”
A kritikusok azzal érvelnek, hogy a Perplexity az erős architektúra, a megfelelő szállítási sebességet priorizálja a kapacitással szemben. Kabilan Sakthivel, a SquareX kutatója arra figyelmeztetett, hogy ez a megközelítés „megfordítja az órát a több évtizedes böngészőbiztonsági elveken, amelyeket olyan gyártók határoztak meg, mint a Chrome, a Safari és a Firefox”.
A „lődd le a hírnököt” stratégia elfogadása, amely először vitatja Brave megállapításait, és most a SquareX-et támadja, azt sugallja, hogy a biztonsági közösség vonakodnak kapcsolatba lépni a biztonsági közösséggel. Az OpenAI beismerése az Atlas böngészővel kapcsolatban, ahol az azonnali befecskendezést „megoldatlan problémaként” ismerték el, bár az OpenAI az átláthatóságot választotta a tagadás helyett.
Növekszik a tét a Perplexity agresszív piaci terjeszkedése, beleértve az . Biztonsági szakértők arra figyelmeztetnek, hogy a „csendes foltok” normalizálása és a kutatók támadása elriaszthatja a jövőbeni felelősségteljes nyilvánosságra hozatalt, így a felhasználók sebezhetővé válhatnak a nulladik napi kizsákmányolásokkal szemben.
