Palo Alto, Kalifornija, 19. studenog, 2025/CyberNewsWire/--SquareX je objavio kritično istraživanje koje otkriva skrivenu API u Cometu koja omogućava proširenjima u AI Pregledniku da izvrše lokalne komande i steknu potpunu kontrolu nad uređajima korisnika. Istraživanje otkriva da je Comet implementirao MCP API (chrome.perplexity.mcp.addStdioServer) koji omogućava svojim ugrađenim proširenjima da izvrše proizvoljne lokalne komande na uređajima korisnika, mogućnosti koje tradicionalni preglednici eksplicitno zabranjuju. Postojeća dokumentacija pokriva samo namjeru funkcije, bez otkrivanja da Comet-ove ugrađene proširenja imaju uporan pristup API-ju i mogućnost pokretanja lokalnih aplikacija proizvoljno bez korisničke dozvole, stvarajući masivno kršenje poverenja i transparentnosti korisnika. 
 
 “Već desetljećima, dobavljači pretraživača pridržavaju se strogih bezbednosnih kontrola koje sprečavaju pretraživače, a posebno proširenja, da izravno kontroliraju temeljni uređaj”, objašnjava Kabilan Sakthivel, istraživač u SquareX-u. “Već desetljećima, dobavljači pretraživača pridržavaju se strogih bezbednosnih kontrola koje sprečavaju pretraživače, a posebno proširenja, da izravno kontroliraju temeljni uređaj”, objašnjava Kabilan Sakthivel, istraživač u SquareX-u. 
 
 "Tradicionalni preglednici zahtijevaju prirodne API-je za poruke sa eksplicitnim upisima u registru i saglasnošću korisnika za bilo kakav pristup lokalnom sistemu.U svojoj ambiciji da pretraživač učini snažnijim, Comet je zaobišao sve ove zaštitne mjere pomoću skrivenog API-ja za koje većina korisnika čak i ne zna da postoji. "Tradicionalni preglednici zahtijevaju prirodne API-je za poruke sa eksplicitnim upisima u registru i saglasnošću korisnika za bilo kakav pristup lokalnom sistemu.U svojoj ambiciji da pretraživač učini snažnijim, Comet je zaobišao sve ove zaštitne mjere pomoću skrivenog API-ja za koje većina korisnika čak i ne zna da postoji. Trenutno, API se nalazi u proširenju Agentic, a može se pokrenuti od strane stranice perplexity.ai, stvarajući tajni kanal za Comet da pristupi lokalnim podacima i pokrene proizvoljne komande/aplikacije bez ikakve kontrole korisnika. Jedan XSS ranjivost, uspešan phishing napad na zaposlenog u Perplexity, ili insider pretnja bi odmah daju napadačima bez presedana kontrolu preko pretraživača preko svakog uređaja korisnika Comet. U demonstraciji napada SquareX-a, istraživački tim je koristio prigušivanje proširenja kako bi prikrio zlonamjerno proširenje kao ugrađeni Analytics proširenje tako što je lažno identificirao njegovu proširenje. Nakon sideloadinga, zlonamjerni Analytics Extension ubrizgava skript u stranicu perplexity.ai, što zauzvrat poziva Agentic Extension koji konačno koristi MCP da izvrši WannaCry na uređaju žrtve. Dok je demonstracija iskoristila proširenje stomping, druge tehnike kao što su XSS, MitM mrežni napadi koji iskorištavaju perplexity.ai ili ugrađene proširenja također mogu dovesti do istog rezultata. Što je još zabrinjavajuće, budući da su oba proširenja ključna za agencijsku funkcionalnost Cometa, Perplexity ih je sakrio iz kontrolne tabele za proširenje Cometa, sprečavajući korisnike da ih onemogućavaju čak i ako su ugroženi.Ove ugrađene proširenja postaju „skriveno IT“ da bezbednosni timovi i korisnici nemaju nikakvu vidljivost.Što više, zbog nedostatka dokumentacije, nema načina da se zna da li ili kada Comet može proširiti pristup drugim „pouzdanim“ sajtovima. Dok drugi AI preglednici takođe imaju ugrađene proširenja, mi smo tek pronašli MCP API u kometu za sada. Slično operativnom sistemu i pretraživaču, posedovanje platforme na kojoj se odvija većina modernog rada oduvek je bila velika ambicija mnogih tehnoloških kompanija. S AI-om, sada postoji prilika da se preglednici učine moćnijima nego ikad ranije. 
 
 MCP API exploits služe kao rano upozorenje na rizike treće strane koje slaba implementacija AI Browsera može izložiti korisnicima. „Rana implementacija API-ja za kontrolu uređaja u AI pretraživačima je izuzetno opasna“, naglašava Vivek Ramachandran, osnivač SquareX-a. „U suštini vidimo da prodavači preglednika daju sebi i potencijalno trećim stranama pristup na nivou sistema koji bi zahtijevao eksplicitnu saglasnost korisnika i pregled sigurnosti u bilo kojem tradicionalnom pretraživaču. MCP API exploits služe kao rano upozorenje na rizike treće strane koje loša implementacija AI Browsera može izložiti korisnicima. „Rana implementacija API-ja za kontrolu uređaja u AI pretraživačima je izuzetno opasna“, navodi se u priopćenju. Osnivač od "U suštini vidimo da dobavljači preglednika daju sebi, a potencijalno i trećim stranama, pristup na razini sustava koji bi zahtijevao eksplicitnu saglasnost korisnika i pregled sigurnosti u bilo kojem tradicionalnom pregledniku. Željko Ramachandran Švajcarci Željko Ramachandran Švajcarci Bez zahtjeva za odgovornost od korisnika i sigurnosne zajednice, drugi AI preglednici će se natjecati da implementiraju slične, ili više invazivne, mogućnosti da ostanu konkurentni. SquareX poziva dobavljače AI preglednika da naruče otkrivanje za sve API-je, prođu bezbednosne revizije treće strane i pruže korisnicima kontrole za onemogućavanje ugrađenih proširenja. Ako industrija sada ne uspostavlja granice, postavljamo presedan u kojem AI preglednici mogu zaobići decenije sigurnosnih principa pod zastavom inovacija. Demonstracioni video: https://youtu.be/qJl4XllT-9M https://youtu.be/qJl4XllT-9M Za više informacija, korisnici mogu se obratiti . Tehnički blog Tehnički blog Opširnije o SquareX Njegova proširenje pretvara bilo koji pretraživač na bilo kojem uređaju u bezbedan pretraživač poduzeća, uključujući AI Browsere. SquareX-ovo prvo rešenje za detekciju i odgovaranje pretraživača (BDR) omogućava organizacijama da se proaktivno brane od pretnji iz pretraživača, uključujući lažne agencije AI, napade na ponovnu montažu Last Mile, zlonamjerne proširenje i napade identiteta. Švajcarci Švajcarci Za razliku od namijenjenih pregledača za poduzeća, SquareX se besprijekorno integrira sa postojećim potrošačkim pretraživačima korisnika, pružajući sigurnost bez kompromisa korisničkog iskustva. . Uslovi korišćenja www.sqrx.com Uslovi korišćenja www.sqrx.com Kontaktiraj Upravni odbor za PR Džunija Liew Švajcarci Uslovi korišćenja www.sqrx.com 
 
 Ova priča je objavljena kao saopštenje za medije od strane Cybernewswire u okviru HackerNoon Business Blogging Program. Ova priča je objavljena kao saopštenje za medije od strane Cybernewswire u okviru HackerNoon Business Blogging Program. Programski Programski

This is a PR written by or for the company mentioned within it. The writer has a vested interest in the company and products mentioned within.

Sign Up for Free

Book A Demo

Check Pricing

Visit Website

Ovaj audio je proizveden na originalnom jeziku priče!

Obscure MCP API u Comet Browser krši poverenje korisnika, omogućavajući punu kontrolu uređaja preko AI preglednika

About Author

KOMENTARI

HANG TAGS

OVAJ ČLANAK JE PREDSTAVLJEN U

Related Stories

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps