セキュリティ企業Zenity Labsは3月3日、AIエージェントブラウザに影響する重大な脆弱性群「PleaseFix」を公開しました。Perplexity Cometなどのエージェントブラウザにおいて、ゼロクリック(ユーザー操作なし)でAIエージェントを乗っ取り、ローカルファイルへのアクセスや1Passwordの認証情報窃取が可能になる深刻な問題です。Perplexityは公開前に修正を完了しています。
PleaseFix脆弱性群には「PerplexedBrowser」と呼ばれるサブファミリーが含まれ、2つの異なる攻撃経路が確認されています。1つ目は、攻撃者がカレンダー招待などを通じて悪意あるコンテンツを送信すると、Perplexity Cometブラウザ内でユーザー操作なしに自律実行が発生し、ローカルファイルシステムにアクセスして内容を外部に送信できるというものです。2つ目は、攻撃者がエージェントの権限を奪取し、1Passwordなどのパスワード管理ツールへの認証済みワークフローを悪用するもので、個別の認証情報の窃取やアカウント全体の乗っ取りが可能です。
1Passwordは、根本原因がPerplexityのブラウザ実行モデルにあり、自社プラットフォームには起因しないと確認しています。X上では「間接的プロンプトインジェクションの進化形」「エージェント時代のセキュリティ課題が浮き彫りになった」との声が上がっています。Redditのr/netsecでは1Passwordアカウント乗っ取りの深刻さが議論され、パスワードマネージャーとAIエージェントの連携リスクに注目が集まっています。Hacker Newsでは、Perplexity以外のエージェントブラウザへの影響を懸念する声も見られます。
PleaseFix脆弱性は、AIエージェントがユーザーの信頼を自動化されたワークフローに拡張する際、既存のブラウザやエンドポイント制御では検出できない形で機密データや認証情報が露出するリスクを示しています。エージェンティックAIの普及に伴い、新たなセキュリティ対策の確立が急務となっています。