セキュリティ企業Zenity Labsが、Perplexity CometなどのエージェントブラウザにPleaseFix脆弱性群を発見し、3月3日に公開しました。この脆弱性を悪用すると、攻撃者がAIエージェントを乗っ取り、ローカルファイルへのアクセスや認証セッション内での資格情報窃取が可能になります。
PerplexedBrowserと名付けられたこの脆弱性群には、2つの異なる攻撃経路が存在します。1つ目は「ファイルシステム流出」で、攻撃者が仕込んだカレンダー招待などのコンテンツが、ユーザーがエージェントに日常的なタスクを依頼した際にゼロクリックで自動実行されます。2つ目は「認証情報窃取」で、1Passwordなどのパスワード管理ツールへのアクセス権限を悪用し、保存された認証情報を盗み出したり、アカウント乗っ取りを実行したりできます。
Zenity Labs共同創業者でCTOのMichael Bargury氏は「これはエージェントシステムに固有の脆弱性です」と述べており、間接的プロンプトインジェクション(Indirect Prompt Injection)という攻撃手法の根本的な危険性を指摘しています。Hacker Newsでは、URLフラグメントに悪意あるプロンプトを隠す「HashJack攻撃」の巧妙さが議論を呼んでいます。
Perplexityは公開前に対策を実施し、機密性の高い操作に対するユーザー確認の厳格化や、管理者が特定サイトでエージェントを無効化できるエンタープライズ向けコントロールを導入しました。エージェントAIが普及する中、ブラウザレベルでの自律的な操作がもたらすセキュリティリスクへの対応が急務となっています。