Дослідники LayerX представили атаку CometJacking, що використовує приховані інструкції у URL-параметрах для керування поведінкою ШІ-браузера Perplexity Comet та витоку даних із підключених сервісів. У демонстрації були задіяні елементи Gmail і Google Calendar, а вбудовані фільтри безпеки обійдені шляхом обфускації через base64.
Perplexity Comet: агентний ШІ-браузер і нова поверхня атаки
Perplexity Comet — це агентний інструмент, здатний автономно переходити між сторінками, виконувати пошук, заповнювати форми та, за наявності дозволів, взаємодіяти з підключеними акаунтами користувача (електронна пошта, календарі, сервіси бронювання тощо). Така розширена агентність підвищує зручність, але одночасно створює привабливу ціль для атак, що перехоплюють контекст і права доступу.
Механіка CometJacking: приховані інструкції в параметрі collection
За даними LayerX, техніка базується на класичному prompt injection. У запиті до Comet використовується параметр collection із зашифрованими або замаскованими інструкціями. Такі підказки змушують агента звертатися не до зовнішніх веб-джерел, а до власної пам’яті та підключених сервісів, що відкриває шлях до ексфільтрації доступних даних.
Доказ концепції: доступ до пошти й календаря та обхід фільтрів через base64
У ході випробувань дослідники отримали доступ до запрошень у Google Calendar і листів у Gmail. Ворожі інструкції зобов’язували агента кодувати виявлені поля у base64 і передавати їх на зовнішній вузол. Така обфускація дозволила оминути перевірки на пряму передачу чутливої інформації: система не ідентифікувала витік у закодованому вигляді.
Як доставляється атака: посилання в листах і на скомпрометованих сайтах
Практичний сценарій простий: цілі надсилають спеціально сформований URL у листі, месенджері або вбудовують посилання у веб-сторінку. Якщо Comet обробляє такий запит із розширеними дозволами, агент виконає приховані інструкції без явного попередження користувача.
Позиція вендора та галузевий контекст ризиків
LayerX повідомили про проблему інженерам Perplexity 27–28 серпня 2025 року. За словами дослідників, вендор розцінив інцидент як «звичний промпт-інжект без наслідків» і відхилив звіти. Ситуація підкреслює загальну проблему галузі: межа між «очікуваною поведінкою» агента та зловживанням його повноваженнями лишається розмитою.
Атака вкладається у відомі класи ризиків для ШІ-систем: OWASP Top 10 for LLM відносить prompt injection до ключових загроз і попереджає про excessive agency (надмірні повноваження), а матеріали MITRE ATLAS фіксують зростання випадків, де кодування, обфускація та редиректи допомагають обходити поверхневі механізми запобігання витокам.
Як знизити ризики: практичні кроки для організацій
Мінімізація повноважень і контроль інтеграцій
- Дотримуйтеся принципу найменших привілеїв: обмежуйте OAuth-scopes для Gmail/Calendar, вимикайте пам’ять і конектори там, де вони не потрібні.
- Використовуйте окремі облікові записи, короткоживучі токени та чіткі політики згоди на чутливі дії.
Контроль вихідного трафіку та DLP
- Запровадьте egress-контроль: allowlist для доменів, блокування довільних зовнішніх endpoint-ів і виявлення аномалій у мережевій активності агента.
- Додайте DLP-правила для виявлення
