Kalenderinbjudan lurar Perplexitys agentwebbläsare Comet att stjäla lösenord

Det räckte med en kalenderinbjudan för att styra Perplexitys ”agentiska” webbläsare Comet till att stjäla känsliga uppgifter, däribland inloggningsuppgifter från en redan inloggad 1Password-webbvalv, enligt säkerhetsforskare vid Zenity Labs. Forskarna visade två angreppsvägar: en där Comet lurades att bläddra i lokala kataloger och föra ut filinnehåll, och en annan som eskalerade till fullständig kapning av 1Password-kontot genom att hämta användarens hemliga nyckel och ändra kontots lösenord. The Decoder rapporterar att inget av angreppen byggde på en vanlig webbläsarsårbarhet.

Det som brast var antagandet bakom delegerad webbnavigering. Comet är byggd för att läsa innehåll och sedan agera i användarens redan autentiserade session, men har svårt att skilja en användarinstruktion (”hantera detta möte”) från dolda instruktioner inbäddade i det innehåll den ombeds bearbeta. Zenity kallar problemet ”avsiktskrock”: modellen slår ihop angriparens text och användarens avsikt till en och samma handlingsplan och genomför den med samma webbläsarkontext som har tillgång till kakor, öppna flikar och tillägg.

Kalenderinbjudan är ett praktiskt leveranssätt eftersom den kan innehålla långa, dolda textstycken. I Zenitys demonstration låg ofarliga mötesuppgifter överst, medan angreppslasten placerades långt ned, avskild med tomrader. Forskarna anpassade dessutom angreppslasten till Comets inre struktur efter att ha fått fram dess systeminstruktion, och använde falska gränssnittselement med ”nodnummer” som matchade Comets sätt att representera klickbara element på en sida. Resultatet blir att Comet behandlar angriparens uppmärkning som om den vore en del av webbläsarens eget gränssnitt.

Kopplingen till 1Password handlar mindre om kryptografi än om ärvd inloggning. Samarbetet mellan Perplexity och 1Password integrerar lösenordshanteraren i Comets miljö, och tillägget kan som standard förbli upplåst i timmar samtidigt som det automatiskt loggar in användare i webbvalvet. När Comet väl förmås att navigera dit kan den söka bland poster och visa lösenord inom ramen för en till synes legitim uppgift och därefter skicka ut dem via vanliga webbförfrågningar, exempelvis genom att bädda in data i adressparametrar, utan en klassisk kedja av tekniska utnyttjanden.

Båda företagen har släppt rättningar, rapporterar The Decoder, men vissa skydd är valfria och beror på användarens inställningar. Det lämnar ett välbekant glapp: produktens grundläge prioriterar bekvämlighet och ”handsfree”-automatisering, medan säkerhetsmodellen förutsätter att agenten pålitligt tolkar sammanhang och vägrar skadliga instruktioner.

Den konkreta lärdomen av Zenitys arbete är att ”skyddsräcken” inte är något styrsystem. Om en agent får läsa godtycklig, opålitlig text och samtidigt har rätt att klicka, kopiera och skicka data i en autentiserad session, är den svåra delen inte upptäckt utan att begränsa vad agenten över huvud taget kan göra. Förmågeisolering, deterministiska tillåtslistor för högriskåtgärder och granskningsloggar som inte kan manipuleras är de oansenliga funktioner som avgör om en assistent är ett verktyg eller en privilegierad insider som bara väntar på att bli socialt manipulerad.

I Zenitys demonstration behövde angriparen varken fjärrkörning av kod, en okänd webbläsarsårbarhet eller tillgång till offrets maskin – bara en kalenderinbjudan som användaren bad sin agent att hantera.