Perplexity Comet AI-browser kwetsbaar voor indirecte prompt-injectieaanvallen

Een recent bericht bespreekt beveiligings- en privacy-uitdagingen in agentische browsers, met de nadruk op een kwetsbaarheid in Perplexity Comet AI Browser die gevoelige gegevens kan blootstellen via indirecte prompt-injectie. Agentic browsing, waarbij AI-assistenten autonoom surfen en taken uitvoeren namens gebruikers, biedt krachtige mogelijkheden, maar brengt ook aanzienlijke risico’s met zich mee, vooral bij het verwerken van gevoelige gegevens in ingelogde sessies.

De kwetsbaarheid ontstaat doordat Comet webpagina-inhoud verwerkt zonder onderscheid te maken tussen gebruikersinstructies en onbetrouwbare webinhoud, waardoor aanvallers kwaadaardige instructies kunnen insluiten die door de AI als commando’s worden uitgevoerd.

Hoe de aanval werkt

Aanvallers kunnen verborgen kwaadaardige instructies in webinhoud plaatsen, bijvoorbeeld wit op witte tekst of in gebruikersgegenereerde content zoals Reddit-reacties. Wanneer een gebruiker de AI-assistent activeert om een pagina samen te vatten, verwerkt de AI deze verborgen instructies als legitieme commando’s. Dit kan ertoe leiden dat de AI:

• gevoelige websites bezoekt,
• inloggegevens of one-time passwords (OTP’s) verzamelt, en
• deze gegevens naar servers van de aanvaller stuurt.

Een proof-of-concept toonde aan dat een aanvaller het e-mailadres en OTP van een gebruiker kan stelen en zo het Perplexity-account kan overnemen, zonder verdere interactie van de gebruiker.

Impact en gevolgen

Deze aanval omzeilt traditionele webbeveiligingsmechanismen zoals same-origin policy (SOP) en cross-origin resource sharing (CORS), omdat de AI met de volledige rechten van de gebruiker in ingelogde sessies werkt. Het stelt aanvallers in staat om cross-domain toegang te verkrijgen via natuurlijke taal die in websites of gebruikerscontent is ingebed, wat een brede en indirecte bedreiging vormt. De aanval benadrukt dat traditionele aannames over webbeveiliging niet gelden voor agentische AI, en dat nieuwe beveiligings- en privacyarchitecturen nodig zijn voor agentic browsing.

Mogelijke mitigaties

Enkele strategieën om dergelijke aanvallen te voorkomen zijn:

• Onderscheid maken tussen gebruikersinstructies en webinhoud: Browsers zouden vertrouwde gebruikersverzoeken moeten scheiden van onbetrouwbare webinhoud voordat deze naar de AI-backend worden gestuurd.
• Controle op gebruikersafstemming van taken: Handelingen voorgesteld door de AI moeten onafhankelijk worden geverifieerd aan de hand van de oorspronkelijke gebruikersverzoeken.
• Gebruikersinteractie verplichten voor gevoelige acties: Taken met hoge veiligheidsrisico’s, zoals het verzenden van e-mails, moeten altijd expliciete bevestiging van de gebruiker vereisen.
• Agentic browsing isoleren van normaal browsen: Agentic browsing moet een aparte modus zijn met minimale permissies om blootstelling aan risico’s te beperken.

Tijdlijn van openbaarmaking

• 25 juli 2025: Kwetsbaarheid ontdekt en gerapporteerd
• 27 juli 2025: Initiële patch door Perplexity
• 28 juli 2025: Patch bleek incompleet; aanvullende details verstrekt
• 11 augustus 2025: Public disclosure notice verzonden
• 13 augustus 2025: Kwetsbaarheid leek gepatcht
• 20 augustus 2025: Openbare bekendmaking; testen toonden nog steeds onvolledige mitigatie, opnieuw gerapporteerd

Onderzoeksdoel en conclusie

Het onderzoek heeft als doel de veiligheids- en privacystandaarden voor agentic browsing te verhogen, waarbij de risico’s van AI-agents binnen ingelogde contexten worden benadrukt. De kwetsbaarheid in Perplexity Comet laat zien hoe uitdagend het is om te waarborgen dat AI-acties strikt overeenkomen met de intentie van de gebruiker. Browsers moeten robuste beveiligingsmaatregelen implementeren voordat AI-agents met uitgebreide webinteracties worden ingezet.

Brave blijft zich inzetten voor privacy en veiligheid, met plannen om agentic browsing verder te beveiligen via fijnmazige permissies.

Questions about this blog? Contact

Maatwerk Online