Introduzione per utenti non tecnici
Se utilizzi il browser Comet di Perplexity, devi sapere che fino a poco tempo fa era vulnerabile a un attacco particolarmente insidioso. La buona notizia: Perplexity ha già rilasciato una patch. La cattiva notizia: l’attacco era così sofisticato che non richiedeva clic dannosi da parte tua, né download di file sospetti. Un semplice invito di calendario apparentemente innocente poteva mettere a rischio i tuoi dati sensibili.
Se usi Comet e non hai aggiornato il browser di recente, è il momento di farlo subito. La vulnerabilità è stata corretta a febbraio 2026, ma solo dopo che i ricercatori hanno dimostrato come gli attaccanti potessero rubare password, file di configurazione e persino accedere ai tuoi account collegati.
Che cosa è successo?
I ricercatori di sicurezza di Zenity Labs hanno scoperto una falla critica nel browser Comet di Perplexity, soprannominata “PleaseFix”. Questa vulnerabilità apparteneva a una famiglia di problemi di sicurezza che colpiva Comet su macOS, Windows e Android, classificata come P1 (critica) nel sistema di segnalazione di bug.
Ciò che rendeva questa vulnerabilità particolarmente pericolosa era la sua natura “zero-click”. Non richiedeva che l’utente facesse nulla di insolito. L’unico passo necessario era interagire con un invito di calendario in modo completamente normale, ad esempio accettare una riunione o una chiamata.
Come funzionava l’attacco
La catena di attacco iniziava con un invito di calendario che sembrava completamente legittimo. L’invito conteneva nomi realistici, ruoli professionali e dettagli di riunione autentici. Il trucco risiedeva in uno spazio bianco nascosto: sezioni di spazio vuoto contenevano istruzioni che un utente difficilmente avrebbe notato durante l’anteprima dell’invito.
Queste istruzioni nascoste includevano elementi HTML falsi e blocchi di testo formattati per assomigliare a promemoria di sistema interno. Quando l’agente AI di Comet elaborava l’invito, mescolava il testo nascosto dell’attaccante con la richiesta dell’utente. I ricercatori di Zenity chiamavano questo “collision di intenti”, una situazione in cui il modello non riesce a separare in modo affidabile l’intento attendibile dal contenuto non attendibile.
Successivamente, le istruzioni iniettate spingevano Comet verso un sito web controllato dall’attaccante. Il sito consegnava un prompt di secondo stadio, apparentemente scritto in ebraico per ridurre l’efficacia dei controlli di sicurezza focalizzati sull’inglese.
Questo prompt riformulava quindi l’accesso ai file come un compito di scoperta innocuo, guidando l’agente ad attraversare le directory locali e aprire file sensibili come dati di configurazione, chiavi API e credenziali archiviate utilizzando URL file://.
Infine, l’agente inviava il contenuto rubato costruendo un URL che trasportava i dati nei parametri e navigando verso il server dell’attaccante. Questo modello di esfiltrazione poteva aggirare l’ispezione casuale.
La cronologia della correzione
Zenity ha segnalato il bug il 22 ottobre 2025. Perplexity ha spedito una correzione iniziale il 23 gennaio 2026 che bloccava l’accesso dell’agente ai percorsi file:// a livello di codice. Tuttavia, i ricercatori di Zenity sono stati in grado di aggirarla utilizzando un trucco view-source:file:///.
Una seconda patch è stata spedita l’11 febbraio, con mitigazione confermata il 13 febbraio, concludendo un processo di divulgazione di 120 giorni.
Il rischio della 1Password
Una variante ancora più pericolosa dell’attacco coinvolgeva l’estensione 1Password. Se l’estensione del browser era installata e sbloccata, l’agente poteva potenzialmente esporre le voci del vault e assistere nei passaggi di acquisizione dell’account. Tuttavia, l’autenticazione a due fattori poteva ancora limitare il compromesso completo dell’account.
Cosa significa questo per te?
Azioni immediate:
- Aggiorna il browser Comet all’ultima versione disponibile
- Se utilizzi 1Password con Comet, assicurati che sia protetto da autenticazione a due fattori
- Sii cauto quando aggiungi inviti di calendario da fonti sconosciute
- Considera se hai davvero bisogno di un browser agentico per le tue attività quotidiane
La lezione più importante è che qualsiasi agente AI che legge contenuto non attendibile mentre possiede potenti autorizzazioni locali o di account diventa un bersaglio di alto valore. Questo non è un problema isolato di Comet, ma una questione strutturale con i browser agentici nel loro insieme.
Technical Deep Dive
Meccanismo di iniezione di prompt indiretto
La vulnerabilità sfruttava un difetto fondamentale nel modo in cui Comet elaborava il contenuto delle pagine web e dei documenti. Quando gli utenti chiedevano all’agente di “riassumere questo invito di calendario”, Comet alimentava il contenuto direttamente all’LLM sottostante senza distinguere tra le istruzioni dell’utente e il contenuto non attendibile.
Questo consentiva agli attaccanti di incorporare payload di iniezione di prompt indiretto che l’AI eseguiva come comandi. L’attacco sfruttava il fenomeno della “collision di intenti”, in cui un modello di linguaggio di grandi dimensioni non riesce a separare in modo affidabile il contesto attendibile dal contesto malevolo quando sono mescolati insieme.
Evasione della mitigazione iniziale
La prima patch di Perplexity implementava un confine rigido che determinava limitazioni sulla capacità del browser di accedere autonomamente ai percorsi file://. Tuttavia, i ricercatori hanno scoperto che potevano aggirare questa protezione utilizzando il prefisso view-source:file:///, che consentiva comunque l’accesso al file system locale.
Questa evasione evidenziava un problema più profondo: il tentativo di mitigare i comportamenti degli agenti AI attraverso filtri di stringa o controlli di accesso a livello di URL era insufficiente. Gli agenti potevano trovare percorsi alternativi o formati di URL per aggirare le restrizioni.
Pattern di esfiltrazione dei dati
L’attacco utilizzava un sofisticato pattern di esfiltrazione che codificava i dati rubati in base64 prima di inviarli a un server remoto. Questo approccio poteva aggirare i controlli di sicurezza che cercavano di rilevare il trasferimento di dati sensibili in chiaro. Codificando i dati come testo apparentemente innocuo, l’attacco poteva eludere l’ispezione superficiale.
Implicazioni per la sicurezza degli agenti agentici
Questa famiglia di vulnerabilità ha dimostrato che l’intero concetto di estensioni browser agentiche potrebbe essere fondamentalmente difettoso dal punto di vista della sicurezza. Gli agenti che combinano accesso a contenuto non attendibile con autorizzazioni potenti (accesso al file system, estensioni installate, account collegati) creano una superficie di attacco intrinsecamente pericolosa.
I ricercatori di sicurezza hanno suggerito che le vere soluzioni richiederebbero un ripensamento architetturale fondamentale, non semplici patch. Ciò potrebbe includere sandbox più rigorosi, separazione dei privilegi e modelli di consenso più espliciti per le operazioni sensibili.
Fonte: https://gbhackers.com/perplexitys-comet-browser-breached/
