Investigadores de SquareX, empresa especializada en seguridad de navegadores, han revelado una vulnerabilidad crítica en el navegador de inteligencia artificial Comet, desarrollado por Perplexity AI. El fallo se relaciona con un MCP API poco documentado y con extensiones internas con privilegios elevados, que en determinadas condiciones podrían permitir la ejecución de comandos en el dispositivo del usuario eludiendo las protecciones estándar del navegador.
Vulnerabilidad en Comet: MCP API oculto y extensiones internas con privilegios
El núcleo del problema se encuentra en el MCP API chrome.perplexity.mcp.addStdioServer, parte de la implementación del Model Context Protocol (MCP). MCP es un protocolo diseñado para conectar aplicaciones de IA con fuentes de datos externas y recursos locales (como archivos, herramientas o servicios del sistema). En Comet, el acceso a este API estaba en manos de dos extensiones internas no visibles para el usuario: Agentic y Analytics.
Estas extensiones no aparecen como extensiones convencionales, no pueden deshabilitarse manualmente y disponen de permisos ampliados para interactuar con MCP. Agentic está orientada a la ejecución de tareas automatizadas por agentes de IA, mientras que Analytics recopila telemetría del navegador y monitoriza las acciones de Agentic. Según SquareX, su uso se restringe nominalmente a subdominios de perplexity.ai, y el MCP API solo debería poder invocarse desde estos dominios de confianza.
El riesgo reside en que este MCP API podría usarse para salir de la sandbox del navegador, lo que abre la puerta a ejecutar comandos en el sistema operativo sin el flujo tradicional de consentimiento del usuario. Desde el punto de vista de ciberseguridad, este tipo de bypass no se limita a fuga de datos, sino que se aproxima a una ejecución remota de código desde el contexto del navegador, uno de los escenarios más graves en seguridad de aplicaciones cliente.
Demostración práctica: extension stomping y ejecución de ransomware
Para demostrar la explotación, SquareX empleó una técnica conocida como extension stomping, que consiste en sustituir una extensión legítima por otra maliciosa que conserva su identidad aparente. Los investigadores crearon una extensión maliciosa que imitaba a la extensión interna Analytics y, a través de ella, instruyeron a Agentic para invocar el MCP API vulnerable.
En su prueba de concepto, este encadenamiento de confianza permitió que Agentic iniciara comandos a través de MCP, culminando en la ejecución del ransomware WannaCry en una máquina de pruebas. Aunque se trataba de una demo controlada, ilustra que, si se comprometiera un subdominio de perplexity.ai, la infraestructura de Perplexity o la cadena de suministro de las extensiones internas, un atacante podría desplegar malware, espiar la actividad del usuario o robar información sensible desde el navegador.
SquareX advierte además de otros vectores plausibles, como vulnerabilidades XSS en subdominios de confianza, ataques Man-in-the-Middle (MitM) o compromisos de la cadena de suministro, que podrían requerir una interacción mínima por parte del usuario. En un escenario de compromiso de la infraestructura de Perplexity, el impacto se amplificaría de forma inmediata para toda la base de usuarios de Comet.
Respuesta de Perplexity AI y debate sobre la magnitud del riesgo
Perplexity AI ha rechazado públicamente las conclusiones de SquareX, calificando el informe de «falso» y el escenario de ataque de «artificial» y poco representativo del riesgo real. La compañía sostiene que, en la práctica, el peligro se asemeja a un caso de phishing tradicional, en el que el usuario tendría que ser engañado para instalar de forma manual software malicioso.
Según Perplexity, sustituir una extensión interna requeriría acceso privilegiado a los entornos de producción, es decir, la participación de un empleado con permisos elevados. La empresa también subraya que la configuración de MCP local y la ejecución de comandos exigen confirmación explícita del usuario, y afirma que la demostración en vídeo de SquareX incluye numerosos pasos manuales. Además, Perplexity indica que no habría recibido un informe técnico completo por parte de SquareX, lo que habría dificultado seguir el proceso estándar de responsible disclosure.
Parche aplicado en Comet y riesgos estructurales de los navegadores con IA
De acuerdo con SquareX, Perplexity fue notificada del problema el 4 de noviembre de 2025. Aunque los investigadores aseguran que no recibieron respuesta directa, señalan que el fallo ha sido corregido de forma silenciosa: los intentos actuales de explotación arrojan el mensaje de error «Local MCP is not enabled» y el método descrito ya no funciona en versiones recientes de Comet.
Si bien esto se considera un resultado positivo en términos de mitigación, la ausencia de una comunicación transparente y de un aviso público sobre una vulnerabilidad crítica plantea dudas sobre los procesos de gestión de vulnerabilidades de la plataforma. Más allá de este caso concreto, el incidente evidencia un riesgo estructural en la arquitectura de navegadores con funciones de IA: extensiones internas con privilegios elevados, combinadas con APIs capaces de acceder a recursos locales, constituyen un objetivo muy atractivo si se rompe la cadena de confianza.
Las mejores prácticas recomiendan aplicar el principio de mínimo privilegio, segmentar estrictamente los permisos, documentar de forma pública los APIs privilegiados y hacer que las extensiones internas sean visibles y, cuando sea viable, desactivables. En el caso de MCP, es esencial separar comandos que puedan ejecutarse localmente, aquellos que deban requerir múltiples factores de confirmación y operaciones que no deberían estar disponibles desde el contexto del navegador.
Recomendaciones para usuarios y desarrolladores de navegadores con inteligencia artificial
Para quienes utilizan navegadores con capacidades de IA, incluido Comet, resulta crítico mantener el software siempre actualizado, revisar con cautela la instalación de extensiones de terceros y validar de forma rigurosa el origen de los archivos descargados. Medidas adicionales como soluciones EDR/antivirus modernas, backups periódicos y el uso de cuentas de usuario sin privilegios de administrador reducen significativamente el impacto de una posible explotación.
Para desarrolladores de navegadores y plataformas de IA, este caso refuerza la necesidad de diseñar arquitecturas secure-by-design para MCP y extensiones de agentes. Esto incluye realizar threat modeling exhaustivo, establecer programas de bug bounty, documentar con claridad los componentes internos y registrar los cambios de seguridad en changelogs públicos. Este enfoque no solo eleva el nivel de seguridad, sino que también incrementa la confianza de usuarios y organizaciones en un entorno donde la IA está integrada cada vez más profundamente en el navegador.
La experiencia con el MCP API de Comet demuestra que cada nueva funcionalidad de IA introduce también una nueva superficie de ataque. Para mantener el equilibrio entre innovación y protección, es esencial que usuarios, fabricantes de navegadores y proveedores de servicios de IA adopten una postura proactiva: revisar cómo se conceden permisos a la IA sobre recursos locales, exigir transparencia y dedicar tiempo a fortalecer la higiene digital en el día a día.
