Perplexity は、リモート コード実行 (RCE) の重大な脆弱性に関する報告を「フェイク ニュース」として却下しました。研究者は、同社が今週ひそかにこの欠陥にパッチを当てたと研究者が主張しています。
サイバーセキュリティ企業 SquareX は、Comet ブラウザの文書化されていない MCP API により、攻撃者がサンドボックスをバイパスし、デバイスを乗っ取ることができたと主張しています。
これは、で報告された間接プロンプト インジェクションの欠陥と比べて重大度が大幅に上昇していることを示しています。 8月。 Perplexity は、このエクスプロイトには信じがたいほどのユーザー介入が必要であると主張していますが、11 月 20 日のサイレント アップデートにより脆弱な機能が完全に無効になったことを示す証拠があります。
「フェイク ニュース」対サイレント パッチ
SquareX の研究者は、 2025 年 11 月 4 日に、Bugcrowd の脆弱性開示プログラム (VDP) を通じて脆弱性報告書を提出しました。標準的な業界プロトコルに従い、報告書を承認し、調査結果を検証し、パッチ適用時に研究者をクレジットするのではなく、Perplexity の対応は技術的な関与を完全に回避しました。
論争を煽り、同社は研究者の信頼性に対して直接攻撃を開始しました。広報担当者のジェシー・ドワイヤー氏は、TechRadar への声明で調査結果の正当性をきっぱりと否定し、「SquareX が偽のセキュリティ調査を発表するのはこれで 2 回目です。私たちが最初に証明したのは、 false。」
Perplexity の主な防御は、ユーザーの極端な介入なしにエクスプロイトは理論的に不可能であるという主張に基づいています。 Dwyer 氏は、「これを再現するには、人間のユーザーが開発者モードをオンにし、マルウェアを Comet に手動でサイドロードする必要がある」と主張しました。
この立場に反して、SquareX は、ブラウザに付属するデフォルトの埋め込み拡張機能を介して脆弱性にアクセスできると主張しました。 SquareX Labs によると、ブラウザが侵害されると、これらの拡張機能はユーザーの操作を必要としません。
証拠によると、サイレント アップデートは 11 月 20 日に展開され、公的否定の数日前に物議を醸した MCP API を無効化したと報告されています。このような緊急の措置は、透明性に関して深刻な疑問を引き起こします。脆弱性が実際に「偽物」だった場合、機能を即座に無効にすることは矛盾しているように見えます。
SquareX は、「ユーザーはもはや MCP API を介した悪用に対して脆弱ではない」と主張しています。このような方法で開示を扱うことは、一般的にベンダーが公的紛争よりも共同修復を優先する業界標準から大きく逸脱しています。
攻撃の解剖学: サンドボックスの破壊
研究者の発見の中心となるのは、文書化されていないモデル コンテキスト プロトコル (MCP) API、特に `chrome.perplexity.mcp.addStdioServer` です。
システム レベルのアクセスを防ぐために厳密にサンドボックス化されている従来のブラウザ拡張機能とは異なり、この API は埋め込み拡張機能に任意のローカル コマンドを実行する機能を与えたとされています。
SquareX の開示文書では、欠陥の範囲が明示的に定義されています。
「私たちの調査により、Comet がMCP API は、埋め込まれた拡張機能が明示的なユーザーの許可なしにホスト デバイス上で任意のローカル コマンドを実行できるようにします。」
SquareX は、このアーキテクチャが Chrome、Firefox、Safari がまさにこの種のシステム レベルの侵害を防ぐために使用しているネイティブ メッセージング API の制限を効果的にバイパスしていると警告しています。
デフォルトでは、Comet には 2 つの隠し拡張機能、`comet-agent` と `comet-analytics` が含まれていますが、これらは表示されません。標準の「comet://extensions」ダッシュボード。研究者らは、「拡張機能ストンピング」として知られる手法を利用して、これらの特権拡張機能になりすまし、API へのアクセスを取得しました。
欠陥の深刻さを実証する概念実証 (PoC) では、ホスト マシン上で「Wannacry」ランサムウェアを起動できることが示されました。ブラウザ分離のこのような重大な失敗により、ブラウザは受動的なツールから、ユーザーの完全なシステム権限でコードを実行できる潜在的な「内部脅威」に変わります。
SquareX の研究者は、「MCP API は本質的に、AI ブラウザ ベンダーが自社に、そして将来的にはサードパーティにデバイスへの完全なアクセスを許可することを許可します。」と述べています。
「エージェント」リスク: セキュリティ失効のパターン
これは、ここ数カ月で Perplexity に関する 2 回目の大きなセキュリティ論争となります。これは、今年初めに Comet で「間接プロンプト インジェクション」の欠陥を含む Brave が発見したことに関する以前の報告に続くものです。
これらの事件で繰り返されるのは、ユーザーの代わりに動作するように設計されたブラウザが「Agentic AI」であり、確立されたセキュリティ境界と衝突するというテーマです。
これを弁護するため、Perplexity は TechRadar への声明で同意プロトコルを強調しました。
「ローカル MCP をインストールする場合、ユーザーの同意が必要です。ユーザーは
「MCP からの追加コマンド (AI ツールの呼び出しなど) にもユーザーの確認が必要です。」
批評家は、Perplexity がセキュリティ アーキテクチャよりも機能の速度を優先しており、適切なガードレールなしで強力な機能を提供していると主張しています。 SquareX の研究者である Kabilan Sakthivel 氏は、このアプローチは「Chrome、Safari、Firefox などのベンダーによって確立された数十年にわたるブラウザ セキュリティ原則の時計を逆転させるものである」と警告しました。
「メッセンジャーを撃つ」戦略を採用し、最初に Brave の調査結果に異議を唱え、現在は SquareX を攻撃していることは、セキュリティ コミュニティとの関与に消極的であることを示唆しています。
Atlas に関する OpenAI の認めとの比較が行われています。
最近の Comet Android ブラウザ バージョンのリリースを含め、Perplexity の積極的な市場拡大が賭け金を増大させています。セキュリティ専門家は、「サイレント パッチ」を正規化し研究者を攻撃すると、今後の責任ある開示が妨げられ、ユーザーがゼロデイ エクスプロイトに対して脆弱になる可能性があると警告しています。
