セキュリティ企業Zenity Labsは、Perplexity AIの「Comet」ブラウザに「PleaseFix」と呼ばれる重大な脆弱性群を発見したと発表しました。特に深刻な「PerplexedBrowser」脆弱性では、カレンダー招待を開くだけでローカルファイルの漏洩や1Passwordの認証情報窃取が可能になります。ユーザーの操作を一切必要としないゼロクリック攻撃です。
攻撃の仕組みは間接プロンプトインジェクション(Indirect Prompt Injection)です。攻撃者が仕込んだ悪意あるコンテンツ(カレンダー招待など)をAIエージェントが読み込むと、エージェントは攻撃者の指示に従ってローカルファイルシステムにアクセスし、データを外部に送信します。この間、ユーザーには通常の応答が返されるため、攻撃に気づくことは困難です。
Zenity CTOは「LLMは信頼されたコマンドと非信頼のWebコンテンツを同じトークンストリームで処理し、区別できない」と構造的欠陥を説明しています。著名AIセキュリティ専門家のSimon Willisonは「エージェントブラウザ拡張のコンセプト自体が致命的に欠陥がある可能性がある」とHacker Newsで指摘しました。Braveも「間接プロンプトインジェクションはAI搭載ブラウザ全カテゴリの体系的課題」と認めています。
Zenityは2025年10月22日に脆弱性を報告し、Perplexityは2026年1月23日に初期修正をリリース。しかし研究者はview-source:file:///を使ってバイパスに成功し、最終的な修正は2026年2月11日に完了しました。120日を要した対応プロセスは、AIセキュリティの複雑さを物語っています。AIエージェントに強力な権限を与える設計そのものを再考すべき時が来ているのかもしれません。
| - [The vulnerability that turns your AI agent against you | Help Net Security](https://www.helpnetsecurity.com/2026/03/04/agentic-browser-vulnerability-perplexedbrowser/) |
|---|---|
| - [Perplexity Comet browser hole exploitable via cal invite | The Register](https://www.theregister.com/2026/03/03/perplexity_comet_browser_hole_cal_invite/) |
| - [Zenity Details Perplexity AI Browser Vulnerability | Security Boulevard](https://securityboulevard.com/2026/03/zenity-details-perplexity-ai-browser-vulnerability/) |