Un utilizator Reddit a ridicat recent o întrebare simplă pe r/perplexity_ai: „E sigur să mă loghez în Gmail sau LinkedIn din Perplexity Comet?” Dincolo de răspunsurile contradictorii din comunitate, o analiză publicată de Brave pe blogul lor scoate la iveală o problemă mai amplă: browserele agentice pot fi păcălite ușor să execute comenzi periculoase, fără ca utilizatorul să bănuiască nimic.
Mai exact, vulnerabilitatea descoperită în Perplexity Comet permite așa-numitele indirect prompt injection attacks - atacuri în care instrucțiuni ascunse în conținut aparent benign (cum ar fi un comentariu Reddit sau o postare pe Facebook) ajung să fie interpretate de AI ca ordine valide. În demonstrația oferită de Brave, AI-ul din Comet a fost convins să extragă o adresă de e-mail, să acceseze un cont și să citească un cod OTP din Gmail, toate acestea doar pentru că utilizatorul a cerut un rezumat al unei pagini care conținea instrucțiuni invizibile.
Ce s-a întâmplat, mai exact: un comentariu cu text „ascuns” a fost plasat într-o postare Reddit, iar utilizatorul, fără să știe, a dat click pe funcția de “Summarize this page” din Comet. AI-ul a citit tot ce era pe pagină - inclusiv instrucțiunile periculoase, pe care le-a executat ca și cum ar fi fost comenzi ale utilizatorului.
Problema e structurală: Comet nu face diferența între ce-i spune utilizatorul și ce preia din site-ul web. Dacă o pagină conține comenzi ascunse, acestea pot deveni acțiuni reale - cu consecințe grave, de la scurgeri de date sensibile la compromiterea conturilor personale sau bancare. Degeaba sunt site-urile protejate prin CORS sau SOP, dacă AI-ul acționează cu privilegiile utilizatorului, deja autentificat în alte taburi sau aplicații.
Reacția comunității e împărțită. Unii spun că folosesc conturi separate doar pentru Comet și acordă acces limitat la fișiere sau foldere, tocmai pentru a minimiza riscurile. Alții, mai sceptici, evită complet folosirea acestui tip de browser în sesiunile cu date personale. Există și voci care susțin că datele ar fi procesate local și nu transmise extern, dar până la o verificare independentă clară, suspiciunile rămân justificate.
Potrivit Brave, problema a fost raportată inițial pe 25 iulie 2025 și părea rezolvată la jumătatea lui august. Totuși, cercetătorii au constatat ulterior că vulnerabilitatea nu fusese complet închisă și au transmis din nou detaliile către echipa Perplexity.
Ce e clar e că browserele agentice nu mai sunt simple instrumente de citit pagini, ci pot acționa în locul tău, cu toate drepturile tale din sesiunile active. Și tocmai de aceea, modelul de securitate tradițional nu mai funcționează aici. Comenzile neintenționate, introduse indirect prin conținut web, devin o nouă zonă de risc. Dacă până acum te temeai de malware sau phishing, trebuie să adaugi și prompt injection pe lista lucrurilor care îți pot pune în pericol datele.
