セキュリティ企業Zenity Labsは、PerplexityのAIブラウザ「Comet」に重大な脆弱性「PerplexedBrowser」が存在していたことを公表しました。この脆弱性を悪用すると、Googleカレンダーの招待状を通じてユーザーのローカルファイルを漏洩させたり、1Passwordなどの認証情報を窃取したりすることが可能でした。Perplexityは2月13日にパッチを適用し、現在この脆弱性は修正されています。
問題の核心は、CometブラウザのAIエージェントがローカルファイルシステムに制限なくアクセスできた点にあります。ブラウザがfile://プロトコルにアクセス可能だったため、ユーザーのローカルマシン上のファイルを読み取ることができました。Zenity Labsの研究者は、Googleカレンダーの会議招待にプロンプトインジェクション攻撃を仕込む手法を実証しました。招待状の冒頭には通常の会議情報が記載され、その後に大量の改行文字を挿入して悪意あるプロンプトを隠す形式です。カレンダー招待は日常的に開くものであり、悪意あるサイトへの誘導を必要としない点で、従来のソーシャルエンジニアリング攻撃より危険性が高いと指摘されています。
さらに深刻なのは、1Passwordの拡張機能がCometブラウザにインストールされてアンロックされている場合、攻撃者は拡張機能のURLにアクセスするようCometに指示することで、1Passwordアカウントの完全な乗っ取りが可能だった点です。Zenityは2025年10月22日にPerplexityに報告し、2026年1月23日に最初の修正が実装されました。しかし研究者が「view-source:file://[path]
Hacker Newsでは、この脆弱性がエージェント型AIのセキュリティ設計における根本的な欠陥として議論されています。セキュリティ研究者からは「LLMは信頼できるコマンドと信頼できないコンテンツを区別できない」という警告が出ており、AIブラウザの普及に伴うセキュリティリスクへの懸念が高まっています。
| - [PerplexedBrowser: Perplexity's Agent Browser Can Leak Your Personal PC Local Files | Zenity Labs](https://labs.zenity.io/p/perplexedbrowser-perplexity-s-agent-browser-can-leak-your-personal-pc-local-files) |
|---|---|
| - [A calendar invite is all it took to hijack Perplexity's Comet browser | The Decoder](https://the-decoder.com/a-calendar-invite-is-all-it-took-to-hijack-perplexitys-comet-browser-and-steal-1password-credentials/) |
| - [Perplexity Comet browser hole was exploitable via cal invite | The Register](https://www.theregister.com/2026/03/03/perplexity_comet_browser_hole_cal_invite/) |