セキュリティ企業Zenity Labsは3月3日、Perplexityが提供するAIエージェント搭載ブラウザ「Comet」に存在する重大な脆弱性群「PleaseFix」を公開しました。カレンダー招待に悪意あるプロンプトを埋め込むだけで、ユーザーの操作なしにAIエージェントを乗っ取り、ローカルファイルやパスワードマネージャー内の認証情報を窃取できることが判明しています。
PleaseFix脆弱性は、従来の「ClickFix」と呼ばれるソーシャルエンジニアリング手法をAIエージェントに応用したものです。2つの主要な攻撃経路が確認されており、1つ目はファイル流出(File Exfiltration)で、攻撃者が仕込んだカレンダー招待をユーザーがAIエージェントに処理させるだけで、file://パスへのアクセスが可能となりローカルファイルが外部に送信されます。2つ目は認証情報窃取で、AIエージェントが持つワークフロー権限を悪用し、1Passwordなどのパスワードマネージャーにアクセスして保存された認証情報を盗み出すことができます。Bugcrowdでは最高レベルの「P1 Critical」評価を受けました。
Hacker Newsでは「AIエージェントが新たな攻撃対象として浮上しており、従来のウェブセキュリティの考え方では対処困難」との議論が活発化しています。Xでも「1Passwordの保管庫にもアクセス可能だった」との報告が上がりましたが、Perplexityは公開前にZenity Labsと協力してパッチを適用済みで、2月13日にはfile://パスへのエージェントアクセスをコードレベルでブロックする修正が完了したとのことです。
AIエージェントブラウザという新しいカテゴリーにおいて、認証済みセッション内での自律的な操作がセキュリティ上の盲点となることを示した事例であり、今後同様のエージェント型ツールが普及する中で、業界全体での対策が急務となりそうです。