Исследователи LayerX описали атаку CometJacking, при которой злоумышленник встраивает вредоносные инструкции в URL-параметры, чтобы управлять поведением ИИ-браузера Perplexity Comet и извлекать данные из подключенных сервисов. В демонстрации были скомпрометированы элементы Gmail и Google Calendar, а защита платформы обойдена за счет обфускации через base64.
Что такое Perplexity Comet и почему он интересен атакующим
Comet — агентный ИИ-браузер, способный автономно переходить по страницам, заполнять формы, выполнять поиск, а при наличии прав — взаимодействовать с подключенными аккаунтами пользователя: от электронной почты до календарей и сервисов бронирования. Такая расширенная «агентность» делает инструмент полезным для пользователей и одновременно привлекательной целью для атак с перехватом контекста и прав.
Механика CometJacking: вредоносные инструкции в параметре collection
По данным LayerX, атака реализуется как классический prompt injection: в строке запроса для Comet используется параметр collection, который содержит скрытые указания для агента. Эти инструкции заставляют Comet обращаться не к веб-источникам, а к собственной памяти и к подключенным сервисам, что открывает путь к эксфильтрации доступных данных.
Доказательство концепции: доступ к почте и календарю и обход фильтров
В ходе тестов исследователи получили доступ к приглашениям в Google Calendar и сообщениям Gmail. Вредоносный промпт предписывал агенту закодировать найденные поля в base64 и передать их на внешний узел. Такая обфускация позволила преодолеть встроенные проверки на прямую передачу конфиденциальной памяти, поскольку система не распознала эксфильтрацию в закодированном виде.
Вектор доставки: фишинг-ссылки и компрометированные сайты
Практический сценарий выглядит просто: цель получает подготовленный URL по почте, в мессенджере или переходит по ссылке на веб-странице. Если Comet обрабатывает такой запрос с расширенными разрешениями, агент выполнит заложенные инструкции без явного уведомления пользователя.
Позиция вендора: спор о значимости
LayerX сообщили об уязвимости инженерам Perplexity 27–28 августа 2025 года. По словам исследователей, вендор квалифицировал ситуацию как «обычный промпт-инжект без последствий» и отклонил отчеты. Разногласие подчеркивает зрелую проблему отрасли: границы между «ожидаемым поведением» агента и злоупотреблением его полномочиями остаются размытыми.
Почему это важно: контекст отраслевых рисков для ИИ-агентов
CometJacking укладывается в известные классы угроз для ИИ-систем. OWASP Top 10 for LLM выделяет prompt injection как одну из ключевых категорий, а также указывает на риски «избыточной агентности» и недостаточного контроля над действиями (excessive agency). Материалы сообщества, включая MITRE ATLAS, фиксируют рост атак, где кодирование, обфускация и редиректы помогают обходить поверхностные фильтры эксфильтрации.
Рекомендации по снижению рисков для организаций
Минимизация полномочий и контроль подключений
- Следовать принципу наименьших привилегий: ограничивать scopes OAuth для Gmail/Calendar, отключать память и коннекторы там, где они не нужны.
- Использовать раздельные учетные записи, токены с коротким сроком жизни и явные политики согласия на чувствительные действия.
Контроль исходящего трафика и DLP
- Реализовать egress-контроль: allowlist для доменов, блокирование произвольных внешних эндпоинтов, инспекция аномалий.
- Добавить DLP-правила на выявление base64/обфускаций, а также DNS/HTTP-туннелирования, с корреляцией по событиям агента.
Защита от промпт-инжектов
- Санитизация и изоляция контекстов: отделять внешние подсказки от системных инструкций, применять «безопасные шаблоны» и политики запретов.
- UI-подтверждения для операций с чувствительными данными, «human-in-the-loop» для отправки писем и чтения почты.
Обучение и тестирование
- Регулярное краснокомандное тестирование промпт-инжектов, мониторинг логов действий агента и оповещения о попытках эксфильтрации.
- Обучение сотрудников распознаванию опасных ссылок и контента, направленных на ИИ-инструменты.
С ростом популярности ИИ-агентов границы угроз смещаются от «модели как таковой» к «системе полномочий и интеграций вокруг нее». CometJacking показывает, что даже при наличии базовых фильтров данные могут утекать за счет простых техник обфускации. Организациям стоит пересмотреть модель угроз для ИИ-браузеров, ужесточить контроль подключений и исходящего трафика, а поставщикам — внедрять «secure-by-default» политику: явные запреты на эксфильтрацию, детект шаблонов кодирования и подтверждения для чувствительных действий. Это снизит поверхность атаки и укрепит доверие к агентным ИИ-инструментам.
