セキュリティ企業Zenity Labsは、Perplexity AIのエージェント型ブラウザ「Comet」に存在する深刻な脆弱性「PerplexedBrowser」を公開しました。間接的プロンプトインジェクションを利用したゼロクリック攻撃により、ユーザーのローカルファイルへのアクセスやパスワード窃取が可能になるというものです。Cometの2025年7月リリース以来、6件目の重大な脆弱性となります。
PerplexedBrowserは2つの攻撃経路で構成されています。1つ目は、AIエージェントを乗っ取りローカルファイルシステムにアクセスしてデータを外部に送信するもの。攻撃者はGoogleカレンダーの招待状など信頼されたコンテンツに悪意あるペイロードを埋め込み、Cometを操作してディレクトリの閲覧、機密ファイルの読み取り、外部サーバーへの送信を実行させます。2つ目は、1Passwordなどのパスワード管理ツールへのアクセス権限を悪用し、保存された認証情報を窃取したりアカウントを乗っ取ったりするものです。専門家は「この攻撃にはエクスプロイトも、ユーザーのクリックも、機密操作への明示的なリクエストも必要ない」と指摘しています。
Hacker Newsでは、Googleカレンダーの招待に悪意あるペイロードを隠してAIエージェントを欺く手法の具体例が議論されています。Redditのr/netsecでは、主流メディアより先に技術的詳細が共有され、早期警告として機能したとの声もあります。
Zenity Labsは2025年10月22日に脆弱性を報告し、Perplexityは「Critical(深刻)」に分類。2026年2月13日に、file://パスへのエージェントアクセスをコードレベルでブロックする修正が有効であることが確認されました。エージェント型AIブラウザの普及に伴い、このような「間接プロンプトインジェクション」のリスクは今後も増加すると予想されます。
| - [PerplexedBrowser: Perplexity's Agent Browser Can Leak Your Personal PC Local Files | Zenity Labs](https://labs.zenity.io/p/perplexedbrowser-perplexity-s-agent-browser-can-leak-your-personal-pc-local-files) |
|---|---|
| - [Perplexity's Comet Browser Hijacked Using Calendar Invite | CyberSecurityNews](https://cybersecuritynews.com/perplexitys-comet-browser-hijacked/) |