Investigadores de LayerX han descrito “CometJacking”, una técnica que introduce instrucciones maliciosas en parámetros de URL para manipular el comportamiento del navegador de IA Perplexity Comet y extraer información de servicios conectados. En su prueba de concepto, los atacantes lograron acceder a invitaciones de Google Calendar y mensajes de Gmail, eludiendo controles mediante obfuscación en base64.
Perplexity Comet: agente de IA con acceso a cuentas y servicios
Comet es un navegador-agente capaz de navegar, rellenar formularios, buscar y, cuando el usuario otorga permisos, interactuar con cuentas conectadas como correo y calendarios. Esta “agencia ampliada” mejora la productividad, pero también incrementa la superficie de ataque para abusos de contexto y de privilegios, especialmente cuando el agente puede ejecutar acciones sin supervisión directa.
Cómo funciona CometJacking: instrucciones ocultas en el parámetro collection
Según LayerX, la técnica se materializa como un prompt injection clásico. El atacante construye una URL para Comet que incluye un parámetro collection con instrucciones encubiertas. Estas indicaciones fuerzan al agente a consultar su memoria y los conectores (p. ej., Gmail/Calendar) en lugar de fuentes web, abriendo la puerta a la exfiltración de datos disponibles bajo las credenciales del usuario.
Prueba de concepto: acceso a Gmail y Calendar y bypass con base64
En los ensayos, los investigadores extrajeron campos de invitaciones de Calendar y contenidos de correos. El prompt malicioso ordenaba codificar los resultados en base64 y transmitirlos a un endpoint externo. La codificación sirvió para evadir controles de protección que frenan la salida de datos sensibles en claro, una táctica consistente con patrones documentados por la comunidad (p. ej., OWASP Top 10 for LLM y MITRE ATLAS) sobre el uso de codificación/obfuscación y redirecciones para sortear filtros superficiales.
Vector de entrega: enlaces de phishing y sitios comprometidos
El escenario operativo es directo: la víctima recibe un enlace preparado por correo, mensajería o lo encuentra en una web. Si Comet procesa la URL con permisos elevados, el agente ejecutará las instrucciones incrustadas sin requerir confirmación explícita del usuario para cada paso.
Respuesta del proveedor y debate sobre el riesgo
LayerX notificó el hallazgo a Perplexity el 27–28 de agosto de 2025. De acuerdo con los investigadores, el proveedor clasificó el caso como un “prompt injection sin impacto” y rechazó los informes. La discrepancia ilustra un problema del sector: la frontera entre comportamiento esperado de un agente y el abuso de sus facultades sigue siendo difusa, especialmente cuando intervienen conectores con datos reales.
Contexto de amenazas: agentes de IA bajo escrutinio
El caso encaja con riesgos ya reconocidos. OWASP Top 10 for LLM sitúa el prompt injection entre las principales categorías de amenaza y alerta sobre la “excesiva agencia” de los sistemas. Por su parte, MITRE ATLAS recoge escenarios donde la codificación (como base64), la ofuscación y los redireccionamientos facilitan la exfiltración al burlar validaciones de salida poco profundas.
Recomendaciones de mitigación para organizaciones
Principio de mínimo privilegio y control de conectores
- Restringir OAuth scopes para Gmail/Calendar; desactivar memoria y conectores cuando no sean necesarios.
- Usar cuentas separadas, tokens de corta duración y políticas de consentimiento explícito para acciones sensibles.
Gobierno de egress y DLP
- Implementar allowlists de destino, bloquear endpoints externos arbitrarios e inspeccionar anomalías de tráfico.
- Configurar DLP para detectar base64, técnicas de obfuscación y tunelización DNS/HTTP, correlacionando con eventos del agente.
Defensa contra prompt injection
- Sanitizar e aislar contextos: separar instrucciones del sistema de entradas externas y aplicar plantillas seguras con políticas de prohibición.
- Introducir confirmaciones en la UI y human-in-the-loop para lectura de correo y envíos hacia fuera de la organización.
Formación y pruebas continuas
- Realizar ejercicios de red teaming centrados en prompt injection y monitorizar logs del agente con alertas de exfiltración.
- Capacitar a usuarios para identificar enlaces y contenidos dirigidos a manipular herramientas de IA.
El auge de los agentes de IA desplaza el foco de la “seguridad del modelo” a la “seguridad de privilegios e integraciones”. CometJacking demuestra que, incluso con filtros básicos, la información puede salir mediante técnicas sencillas de codificación. Es recomendable revisar el modelo de amenazas de los navegadores de IA, endurecer el control de conectores y del tráfico saliente, y exigir políticas secure-by-default (bloqueo explícito de exfiltración, detección de patrones de codificación y confirmaciones para acciones sensibles). Estas medidas reducen la superficie de ataque y fortalecen la confianza en soluciones de IA con agencia.
