Kalenderinbjudan tar över Perplexitys Comet och tömmer 1Password på lösenord

En enda kalenderinbjudan räckte för att kapa Perplexitys agentstyrda webbläsare Comet och föra ut inloggningsuppgifter ur ett redan inloggat webbaserat 1Password-valv, enligt en demonstration från Zenity Labs som The Decoder rapporterat om. Forskarna visade två angreppsvägar: den ena tvingade Comet att läsa lokala filer, den andra fick webbläsaren att avslöja sparade lösenord och till och med byta lösenordet till 1Password-kontot. Ett delegerat ”hantera det här mötet”-uppdrag kunde därmed eskalera till fullständig kontokapning.

Det obekväma för leverantörerna är vad angreppet inte krävde. Zenity behövde varken ett fel i minneshanteringen, en flykt ur sandlådan eller en okänd sårbarhet i webbläsaren. Comet fungerade ”som avsett” och utförde instruktioner som låg inbäddade i det innehåll den ombads behandla. Forskarna beskriver kärnproblemet som en ”krock mellan avsikter”: agenten kan inte pålitligt skilja användarens avsikt (”acceptera denna inbjudan”) från angriparens instruktioner som gömts i inbjudningstexten, utan slår ihop båda till en plan och genomför den med användarens redan autentiserade session.

Detta flyttar säkerhetsgränsen. Traditionellt nätfiske försöker lura en människa att klicka; agentstyrd surfning gör varje tolkad text till en möjlig styrkanal. När en agent kan läsa e-post, öppna filer, klicka på knappar och logga in i tjänster slutar social manipulation att vara ett enstaka misstag och börjar likna fjärrstyrd uppgiftskörning. Kombinationen Comet och 1Password visar den förstärkande effekten: 1Passwords webbaserade valv nås i samma webbläsarkontext som agenten styr, och tillägget kan som standard förbli upplåst i timmar, vilket i praktiken lånar agenten en huvudnyckelknippa.

Zenitys genomgång belyser också hur angripare kan anpassa instruktioner till agentens interna ”grammatik”. Genom att hämta Comets systeminstruktion hittade teamet en struktur med taggen <system_reminder> och efterliknade den i inbjudan så att de skadliga instruktionerna behandlades som mer prioriterade. De lade till falska gränssnittselement som stämde med Comets interna representation av sidans noder och använde blandade språk för att minska risken att skydden skulle flagga texten som en uppenbar injektion av instruktioner.

Perplexity och 1Password har levererat rättningar, men The Decoder noterar att vissa motåtgärder kräver att användaren själv slår på dem, vilket lämnar standardinställningar exponerade. Samtidigt syns marknadsreaktionen redan: TechCrunch rapporterar att Fig Security tagit in 38 miljoner dollar för att övervaka ”förändring” i omfattande säkerhetsmiljöer – att spåra om upptäckter fortfarande utlöses efter att verktyg, rörledningar eller regler uppströms ändrats. I praktiken köper säkerhetsteam övervakning av sin övervakning, eftersom moderna försvar numera är en kedja av leverantörsprodukter vars felmönster ofta uppstår genom rutinmässiga uppdateringar.

Kalenderinbjudan är inte berättelsens särdrag så mycket som dess banalitet. Varje innehållskanal som agenten tillåts läsa – e-post, dokument, webbplatser, uppladdade filer – blir en möjlig instruktionsyta när agenten samtidigt får tillstånd att agera.

I Zenitys demonstration bröt sig angriparen inte in i datorn. Angriparen skrev helt enkelt text som datorn var behörig att lyda.