Исследователи компании SquareX, специализирующейся на безопасности браузеров, опубликовали отчет о критической уязвимости в ИИ-браузере Comet от Perplexity. Проблема связана с малодокументированным MCP API и встроенными расширениями, которые потенциально позволяли выполнять команды на устройстве пользователя в обход стандартных механизмов защиты браузера. Perplexity уже внедрила исправление, но одновременно публично раскритиковала исследование как «фейковое».
Скрытый MCP API в Comet и роль встроенных расширений
Ключевым элементом уязвимости стал малодокументированный MCP API chrome.perplexity.mcp.addStdioServer, доступ к которому имели два скрытых встроенных расширения — Agentic и Analytics. Они поставляются вместе с браузером Comet, не отображаются как обычные расширения, не могут быть отключены пользователем и имеют расширенные полномочия по взаимодействию с MCP.
MCP (Model Context Protocol) используется для подключения ИИ-приложений к внешним источникам данных и локальным средам. В Comet расширение Agentic отвечает за выполнение агентских автоматизированных задач, а Analytics собирает телеметрию браузера и отслеживает действия Agentic. Оба компонента, по данным SquareX, настроены на взаимодействие исключительно с поддоменами perplexity.ai, а доступ к MCP API формально ограничен этими доменами.
Критичность проблемы в том, что MCP API позволял обходить браузерную песочницу и, при злоупотреблении, давал возможность выполнять команды на устройстве без явного запроса разрешений у пользователя. Это уже не просто риск утечки данных, а потенциальное исполнение произвольного кода на уровне операционной системы.
Демонстрация атаки SquareX: extension stomping и запуск шифровальщика
В своем отчете SquareX показала практический сценарий атаки с использованием техники extension stomping — подмены легитимного расширения его вредоносным аналогом. Исследователи создали вредоносное расширение, маскирующееся под штатное Analytics, и через него отдали команду расширению Agentic вызвать MCP API.
В результате Agentic, доверяя «замещенному» расширению, инициировал выполнение команд через MCP, что позволило исследователям запустить на тестовой машине шифровальщик WannaCry. Это была демонстрация концепции (proof-of-concept), но она показала, что при компрометации домена perplexity.ai или встроенных расширений возможен запуск любого вредоносного ПО, слежка за действиями пользователя и кража конфиденциальных данных.
SquareX отдельно отметила, что другие векторы атак — XSS на доверенных поддоменах, атаки «человек посередине» (MitM) или компрометация цепочки поставок — могут потребовать минимального участия пользователя. При этом компрометация инфраструктуры Perplexity мгновенно создала бы масштабный риск для всех пользователей Comet.
Позиция Perplexity: «фейковый» сценарий и акцент на человеческом факторе
Perplexity в комментариях для СМИ заявила, что считает отчет SquareX некорректным и назвала его выводы «фейковыми». Представитель компании подчеркнул, что описанный сценарий атаки «искусственный и не представляет реального риска», а если и существует риск, то он сводится к классическому фишингу, когда пользователя убеждают вручную установить вредоносное ПО.
По словам Perplexity, даже SquareX «признает нереалистичность» сценария, так как для замены встроенного расширения на вредоносное якобы потребовался бы сотрудник Perplexity с доступом к производственным системам. Компания также указала, что установка локальных MCP и выполнение команд требуют подтверждения пользователя, а видео SquareX демонстрирует атаку с существенным объемом ручных действий.
Отдельно Perplexity заявила, что не получила полного отчета SquareX и что исследователи не ответили на запросы о предоставлении технических подробностей уязвимости, что усложнило диалог по классической процедуре ответственного раскрытия (responsible disclosure).
Исправление уязвимости и текущий статус безопасности Comet
По данным SquareX, компания уведомила Perplexity об уязвимости 4 ноября 2025 года, но не получила прямого ответа. Тем не менее, журналистам исследователи сообщили, что на днях Perplexity тихо внедрила исправление в Comet. Теперь попытки эксплуатации уязвимости приводят к сообщению об ошибке: «Local MCP is not enabled», а описанный ранее метод атаки больше не работает.
SquareX охарактеризовала это как позитивный результат, подчеркнув, что опубликованное исследование помогло усилить безопасность ИИ-браузера. Однако отсутствие прозрачной коммуникации и публичного уведомления об устранении критической уязвимости оставляет открытыми вопросы к процессам безопасности и управлению уязвимостями на стороне Perplexity.
Экспертный взгляд: системные риски MCP и встроенных ИИ-расширений
С точки зрения кибербезопасности описанная ситуация демонстрирует структурный риск архитектуры ИИ-браузеров, где встроенные расширения с расширенными привилегиями работают в связке с мощным API, способным выходить за пределы песочницы. Даже при ограничении доступа поддоменами одной компании, любое нарушение доверия к этим доменам или цепочке поставок превращает такую архитектуру в удобную цель для злоумышленников.
Лучшие практики безопасности предполагают прозрачность встроенных компонентов, возможность их отключения, реализацию принципа наименьших привилегий и строгую сегментацию прав доступа. В случае MCP API это означает четкое разграничение того, какие команды могут выполняться локально, какие требуют многофакторного подтверждения, а какие должны быть принципиально недоступны из браузерного контекста.
Рекомендации пользователям и разработчикам ИИ-браузеров
Для пользователей ИИ-браузеров, включая Comet, критично важно поддерживать актуальность программного обеспечения, своевременно устанавливать обновления, осторожно относиться к установке сторонних расширений и внимательно проверять источники загружаемых файлов. Дополнительную защиту обеспечат современные решения класса EDR/антивирус, регулярное резервное копирование данных и ограничение прав пользовательских учетных записей.
Разработчикам ИИ-браузеров и ИИ-платформ стоит уделить особое внимание secure-by-design архитектуре MCP и агентских расширений: проводить полноценный threat modeling, внедрять программы bug bounty, публично документировать привилегированные API и фиксировать изменения безопасности в открытых журналах версий. Это повышает уровень доверия к продукту и снижает вероятность того, что критические уязвимости надолго останутся незамеченными.
История с MCP API в Comet показывает, что развитие ИИ-функций в браузерах неизбежно сопровождается новыми классами рисков. Чтобы сохранить баланс между удобством и безопасностью, всем участникам экосистемы — пользователям, разработчикам и провайдерам ИИ-сервисов — необходимо внимательно относиться к механизму доступа ИИ к локальным ресурсам и системно повышать уровень кибергигиены.
