セキュリティ企業Zenity Labsは2026年3月4日、Perplexity社のAI搭載ブラウザ「Comet」に間接プロンプトインジェクションを悪用した深刻な脆弱性群「PleaseFix」が存在したことを公開しました。この脆弱性により、ユーザーのクリックなしにパスワードマネージャーから認証情報を窃取される危険性がありました。
PleaseFix脆弱性の攻撃手法は巧妙です。攻撃者はカレンダー招待や面接依頼などの一見無害なメッセージに悪意のあるプロンプトを埋め込み、ユーザーがCometに「このイベントの要約」を依頼すると、AIが隠されたコマンドを実行してしまいます。Help Net Securityによると、この攻撃は「エクスプロイトもクリックも明示的なリクエストも必要ない」ゼロクリック攻撃であり、AIエージェントがデータと命令を区別できないという根本的な設計上の問題に起因しています。
Hacker Newsでは「エージェントAIに付与されたアクセス権が攻撃者に継承されるリスク」が指摘され、「設計上の根本的問題」として議論が行われています。Xでも「2026年2月に修正済みだが、エージェントブラウザ全体のセキュリティモデルに疑問が残る」という声が上がっています。Perplexityは責任ある開示を受けて、AIエージェントがローカルファイルシステム(file://パス)に自律的にアクセスすることを禁止する修正を実施しました。
AIブラウザの利便性とセキュリティのバランスは、今後の業界全体の課題となりそうです。
| - [PleaseFix Vulnerability | Zenity Labs](https://zenity.io/company-overview/newsroom/company-news/zenity-labs-discloses-pleasefix-perplexedagent-vulnerability) |
|---|---|
| - [Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet | Brave](https://brave.com/blog/comet-prompt-injection/) |