Специалисты по безопасности из Zenity Labs продемонстрировали, как поддельное приглашение в календарь обманывает агентный браузер Comet от Perplexity, заставляя красть локальные файлы и полностью захватывать аккаунт в 1Password.
Эксперты Zenity Labs выявили два сценария атак на агентный браузер Comet от Perplexity. В каждом случае достаточно изменить обычное приглашение на встречу. Пользователь только просит Comet разобраться с назначением — дальше вредоносный процесс идет сам, незаметно и без дополнительных действий.
Такие приглашения — лишь один из возможных путей. Аналогичные атаки работают через электронные письма, документы, веб-сайты или загруженные файлы, стоит лишь Comet взяться за их обработку по поручению пользователя.
Первая атака нацелена на локальную файловую систему. Скрытые инструкции побуждают Comet сканировать папки, читать конфиденциальные документы и передавать их содержимое на чужой сервер прямо в параметрах URL. Для браузера это похоже на стандартный запрос страницы.
Вторая атака заходит дальше: Comet заходит в авторизованный веб-хранилище 1Password, находит записи, раскрывает пароли и пересылает учетные данные злоумышленнику. В усиленной версии агент меняет пароль аккаунта, выуживает адрес электронной почты и секретный ключ, обеспечивая полный контроль. Поводом для проверки стало партнерство Perplexity и 1Password, объявленное в сентябре 2025 года, — оно встраивает менеджер паролей прямо в окружение Comet.
Атаки опираются на логику работы браузера, а не на обычные уязвимости
Ни одна из атак не использует стандартные программные дыры. Comet действует строго в своих возможностях, в контексте авторизованного браузера пользователя. Эксперты называют это «столкновением намерений»: агент не способен четко разграничить цель пользователя и команды нападающего, поэтому объединяет их в общий план действий.
В случае с 1Password расширение усугубляет ситуацию: оно остается разблокированным до восьми часов по умолчанию и автоматически входит в веб-интерфейс. Любой процесс внутри браузера получает доступ к хранилищу паролей.
Фальшивые кнопки и текст на иврите маскируют атаку от защитных механизмов
Метод атаки специально заточен под внутреннюю архитектуру Comet, отмечают исследователи. Они сначала изучили системный промт браузера и нашли структуру <system_reminder>. Затем применили ее в поддельном приглашении, чтобы команды получили приоритет.
Видимая часть приглашения содержит только невинные детали встречи. А настоящие инструкции спрятаны ниже, за множеством пустых строк. Туда же добавили фальшивую кнопку с Node ID — Comet воспринимает ее как настоящий интерактивный элемент интерфейса, соответствующий своей модели страницы.
Кроме того, эксперты смешали иврит, английский и повествовательный стиль. Шаги описаны как история, где «Элис просит помощника о помощи». Такой подход снижает шансы, что базовые фильтры безопасности расценят текст как вредоносный.
Патчи внедрены, но часть мер требует ручной активации
Zenity Labs сообщила об угрозах Perplexity и 1Password в октябре и ноябре 2025 года. Perplexity ввела жесткий запрет на доступ к путям file:// прямо на уровне кода. Исследователи хвалят такой подход: компания считает сам агентный браузер ненадежным и ограничивает его на уровне исходников, а не полагается на модель ИИ.
Однако после первого патча Zenity обнаружила обход через view-source:file:///, что привело к новому исправлению в феврале 2026 года. Пользователи могут запретить доступ к чувствительным доменам в comet://settings/assistant. 1Password добавила опции для отключения авто-входа и обязательного подтверждения перед автозаполнением. Компания также выпустила уведомление о безопасности.
Обе компании отреагировали позитивно, по словам экспертов. Запрет на файловую систему от Perplexity работает сразу, а вот меры 1Password и блокировка доменов в Comet активируются вручную. Без настройки пользователи остаются уязвимыми. Многофакторная аутентификация блокирует полный захват аккаунта, но не утечку отдельных записей из хранилища.
Исследователи советуют относиться к агентным браузерам по принципу нулевого доверия: минимум прав, максимум подозрений. Проблема внедрения промтов не решена, а с ростом автономности ИИ поверхность для атак только расширяется.