Palo Alto، كاليفورنيا، 19 نوفمبر، 2025/CyberNewsWire/-- أطلقت SquareX أبحاثاً حاسمة تظهر API مخفياً في Comet الذي يسمح بتطبيقات التطبيقات في متصفح AI بتنفيذ أوامر محددة وتحقيق السيطرة الكاملة على أجهزة المستخدمين. وتشير الأبحاث إلى أن Comet تطبق API MCP (chrome.perplexity.mcp.addStdioServer) الذي يسمح بتطبيقاته المدمجة بإجراء أوامر محددة على أجهزة المستخدمين، وهي القدرات التي تمنعها المتصفحات التقليدية بشكل واضح. وتتضمن الوثائق الموجودة فقط الهدف من الخصائص، دون أن يتم الكشف عن أن تطبيقات Comet المدمجة لديها الوصول المستمر إلى API والقدرة على إطلاق التطبيقات المحلية بشكل تلقائي دون موافقة المستخدمين، مما يخلق انتهاكاً كبيراً للثقة والشفافية للمستخدمين. "لأكثر من عقود ، اتخذت شركات تطبيقات المتصفح تحكمات أمنية صارمة تمنع المتصفحين ، وخاصة التوسعات ، من السيطرة على الجهاز الأساسي بشكل مباشر" ، ويقول كابيلان Sakthivel ، الباحث في SquareX. "لأكثر من عقود ، اتخذت شركات تطبيقات المتصفح تحكمات أمنية صارمة تمنع المتصفحين ، وخاصة التوسعات ، من السيطرة على الجهاز الأساسي بشكل مباشر" ، ويقول كابيلان Sakthivel ، الباحث في SquareX. "تطلب المتصفحات التقليدية APIات الرسائل الأصلية مع ملاحظات المستندات الفعالة والموافقة المستخدمة على أي إمكانية الوصول إلى النظام المحلي.في رغبتهم في جعل المتصفح أكثر قوة، كومت تحول جميع هذه الأمانات مع API مخفية التي لا يعرفها معظم المستخدمين حتى هناك. "تطلب المتصفحات التقليدية APIات الرسائل الأصلية مع ملاحظات المستندات الفعالة والموافقة المستخدمة على أي إمكانية الوصول إلى النظام المحلي.في رغبتهم في جعل المتصفح أكثر قوة، كومت تحول جميع هذه الأمانات مع API مخفية التي لا يعرفها معظم المستخدمين حتى هناك. في الوقت الحالي ، يتم العثور على API في توسيع Agentic ، ويمكن أن يتم تشغيلها من قبل الصفحة perplexity.ai ، مما يخلق قناة مخفية ل Comet للحصول على البيانات المحلية وتشغيل أوامر / تطبيقات عشوائية دون أي سيطرة المستخدم. قد يمنح العداء XSS واحد، هجوم إرهابي ناجح ضد موظف Perplexity، أو تهديد داخلية هجوماً غير مسبوقاً عبر المتصفح على كل جهاز من مستخدمي Comet، وهذا يخلق مخاطر ثقيلة من طرف ثالث، حيث قد يترك المستخدمون أمن جهازهم إلى موقف أمن Perplexity، وليس من السهل تقييم أو تقليل المخاطر. في عرض الهجوم لشركة SquareX، استخدم الفريق البحثي إزالة التوسع لتخزين التوسع الخبيث كإزالة Analytics المدمجة عن طريق إزالة ID التوسع. بمجرد تثبيت الجانب ، يتم إدخال التمديد الإشعاعي الخبيث إلى صفحة perplexity.ai ، والتي بدورها تستخدم التمديد الإشعاعي الذي يستخدم في النهاية MCP لتنفيذ WannaCry على جهاز الضحايا. في حين أن التمثيل استخدم التمديد ، يمكن أن يؤدي أيضًا إلى نفس النتيجة تقنيات أخرى مثل XSS ، الهجمات الشبكية MitM التي تستخدم التمديد الإشعاعي.ai أو التمديدات المدمجة. وأكثر من ذلك، لأن كلا التطبيقاتين أهمية كبرى لمستخدمي Comet، فقد غطاها Perplexity من لوحة التحكم في Comet، مما يمنع المستخدمين من إلغاء تثبيتها حتى لو تم التهديد بها. في حين أن المستخدمين الآخرين في متصفح الذكاء الاصطناعي لديهم أيضًا تطبيقات مخصصة، إلا أننا وجدنا API MCP في Comet حتى الآن. كما هو الحال مع نظام التشغيل والتحكم في محركات البحث ، فإن وجود منصة حيث يحدث معظم العمل الحديث كان دائمًا حلمًا كبيرًا للعديد من شركات التكنولوجيا. مع الذكاء الاصطناعي ، هناك الآن فرصة لخلق المتصفحات أكثر قوة من أي وقت مضى. ويشكل استخدام MCP API تحذيرًا مبكرًا على المخاطر التي يمكن أن تؤثر على المستخدمين عندما يتم تنفيذ تطبيقات تطبيقات المراقبة الذكية من قبل أطراف ثالثة. "إن تنفيذ تطبيقات التحكم الذكي في تطبيقات تطبيقات التطبيقات الذكية في وقت مبكر من الأوقات خطير جدًا"، يقول فيفيك راماشاندران، مؤسس شركة SquareX. "نحن في الأساس نرى مزودي التطبيقات يمنحون أنفسهم، وربما أطراف ثالثة، نوعًا من الوصول على مستوى النظام الذي سيحتاج إلى موافقة المستخدم وقياس أمان في أي متصفح تقليدي. تستخدم تطبيقات MCP API كعنوان مبكر على المخاطر التي يمكن أن تتعرض لها أطراف ثالثة من تطبيقات المراقبة الذكية. "تطبيق تطبيقات التحكم الذكي المبكر في تطبيقات المراقبة الذكية خطير للغاية". مؤسس من وتابع: "نحن في الأساس نرى الموردين من المتصفحين يمنحون أنفسهم، وربما أطراف ثالثة، نوع من الوصول على مستوى النظام الذي سيحتاج إلى موافقة المستخدم الفعلي والتقييم الأمني في أي المتصفح التقليدي. رامي رمضان SquareX رامي رمضان SquareX دون الحاجة إلى المسؤولية من المستخدمين والمجتمع الأمني، سوف تستضيف متصفحات AI الأخرى القدرة على تنفيذ القدرات المماثلة، أو أكثر تدميرًا، للحفاظ على المنافسة.SquareX يدعو الموردين من متصفحات AI إلى إرسال بيانات إعلامية لجميع التطبيقات API، وإجراء التحقيقات الأمنية من جهة ثانية، وتوفير المستخدمين برامج التحكم لتجنب التوسعات المدمجة. إذا لم يحدد الصناعة الحدود الآن، فإننا نحدد مقياسًا حيث يمكن للمستخدمين الذكاء الاصطناعيين تجنب المبادئ الأمنية منذ عقود تحت شعار الابتكار. فيديو Demo : https://youtu.be/qJl4XllT-9M https://youtu.be/qJl4XllT-9M للمزيد من المعلومات، يمكن للمستخدمين الاستفادة من . المدونة التقنية المدونة التقنية حول SquareX تحويل إضافي المتصفح من أي متصفح على أي جهاز إلى متصفح آمن على مستوى الشركات، بما في ذلك متصفح AI Browsers.تصنيف SquareX الأول في الصناعة لتحديد وتجربة المتصفح (BDR) يوفر المنظمات القدرة على الدفاع بشكل فعال ضد التهديدات المستعصية على المتصفح بما في ذلك أجهزة الذكاء الاصطناعي الخبيثة، هجوم إعادة تكوين المريخ الأخير، والتطبيقات الضارة والهجمات على الهوية. SquareX SquareX على عكس المتصفحات الأكاديمية المخصصة، تتكامل SquareX بسهولة مع المتصفحات المستهلكة الحالية للمستخدمين، مما يوفر أمانًا دون التأثير على تجربة المستخدم. . الموقع www.sqrx.com الموقع www.sqrx.com الاتصال رئيس شركة PR جونيسي لوي SquareX إلخ@sqrx.com تم نشر هذه القصة كإعلان صحفي من قبل Cybernewswire تحت برنامج HackerNoon Business Blogging. تم نشر هذه القصة كإعلان صحفي من قبل Cybernewswire تحت برنامج HackerNoon Business Blogging. برنامج برنامج
