Palo Alto, Καλιφόρνια, 19 Νοεμβρίου, 2025/CyberNewsWire/--Το SquareX δημοσίευσε κρίσιμη έρευνα που αποκαλύπτει ένα κρυφό API στο Comet που επιτρέπει στις επεκτάσεις του AI Browser να εκτελούν τοπικές εντολές και να αποκτούν πλήρη έλεγχο των συσκευών των χρηστών. Η έρευνα αποκαλύπτει ότι η Comet έχει εφαρμόσει ένα API MCP (chrome.perplexity.mcp.addStdioServer) που επιτρέπει στις ενσωματωμένες επεκτάσεις της να εκτελούν αυθαίρετες τοπικές εντολές στις συσκευές των χρηστών, δυνατότητες που τα παραδοσιακά προγράμματα περιήγησης απαγορεύουν ρητά. Η υπάρχουσα τεκμηρίωση καλύπτει μόνο την πρόθεση του χαρακτηριστικού, χωρίς να αποκαλύπτει ότι οι ενσωματωμένες επεκτάσεις της Comet έχουν επίμονη πρόσβαση στο API και τη δυνατότητα να ξεκινήσουν τοπικές εφαρμογές αυθαίρετα χωρίς την άδεια του χρήστη, δημιουργώντας μια μαζική παραβίαση της εμπιστοσύνης και της διαφάνειας των χρηστών. 
 
 «Για δεκαετίες, οι προμηθευτές του προγράμματος περιήγησης έχουν τηρήσει αυστηρούς ελέγχους ασφαλείας που εμποδίζουν τα προγράμματα περιήγησης, και ιδιαίτερα τις επεκτάσεις, να ελέγχουν άμεσα τη βασική συσκευή», εξηγεί ο Kabilan Sakthivel, ερευνητής της SquareX. «Για δεκαετίες, οι προμηθευτές του προγράμματος περιήγησης έχουν τηρήσει αυστηρούς ελέγχους ασφαλείας που εμποδίζουν τα προγράμματα περιήγησης, και ιδιαίτερα τις επεκτάσεις, να ελέγχουν άμεσα τη βασική συσκευή», εξηγεί ο Kabilan Sakthivel, ερευνητής της SquareX. 
 
 «Τα παραδοσιακά προγράμματα περιήγησης απαιτούν native messaging APIs με ρητές καταχωρήσεις μητρώου και συγκατάθεση χρήστη για οποιαδήποτε πρόσβαση σε τοπικό σύστημα.Στην φιλοδοξία τους να κάνουν το πρόγραμμα περιήγησης πιο ισχυρό, η Comet έχει παρακάμψει όλες αυτές τις διασφαλίσεις με ένα κρυφό API που οι περισσότεροι χρήστες δεν γνωρίζουν καν ότι υπάρχει. «Τα παραδοσιακά προγράμματα περιήγησης απαιτούν native messaging APIs με ρητές καταχωρήσεις μητρώου και συγκατάθεση χρήστη για οποιαδήποτε πρόσβαση σε τοπικό σύστημα.Στην φιλοδοξία τους να κάνουν το πρόγραμμα περιήγησης πιο ισχυρό, η Comet έχει παρακάμψει όλες αυτές τις διασφαλίσεις με ένα κρυφό API που οι περισσότεροι χρήστες δεν γνωρίζουν καν ότι υπάρχει. Επί του παρόντος, το API βρίσκεται στην επέκταση Agentic και μπορεί να ενεργοποιηθεί από τη σελίδα perplexity.ai, δημιουργώντας ένα κρυφό κανάλι για την Comet να αποκτήσει πρόσβαση σε τοπικά δεδομένα και να ξεκινήσει αυθαίρετες εντολές/εφαρμογές χωρίς κανένα έλεγχο του χρήστη. Μια ενιαία ευπάθεια XSS, μια επιτυχημένη επίθεση phishing εναντίον ενός υπαλλήλου της Perplexity ή μια απειλή εσωτερικού χρήστη θα έδινε αμέσως στους επιτιθέμενους πρωτοφανή έλεγχο μέσω του προγράμματος περιήγησης σε κάθε συσκευή του χρήστη της Comet. Αυτό δημιουργεί καταστροφικό κίνδυνο τρίτου μέρους όπου οι χρήστες έχουν παραιτηθεί από την ασφάλεια της συσκευής τους στη στάση ασφαλείας της Perplexity, χωρίς εύκολο τρόπο αξιολόγησης ή μείωσης του κινδύνου. Στην επίδειξη της επίθεσης της SquareX, η ερευνητική ομάδα χρησιμοποίησε την παραβίαση της επέκτασης για να συγκαλύψει μια κακόβουλη επέκταση ως την ενσωματωμένη επέκταση Analytics, παραποιώντας το αναγνωριστικό της επέκτασης. Μόλις φορτωθεί, η κακόβουλη επέκταση Analytics εγχέει ένα σενάριο στη σελίδα perplexity.ai, το οποίο με τη σειρά του επικαλείται την επέκταση Agentic, η οποία τελικά χρησιμοποιεί το MCP για να εκτελέσει το WannaCry στη συσκευή του θύματος. Ενώ η επίδειξη αξιοποίησε την παρεμπόδιση της επέκτασης, άλλες τεχνικές όπως οι επιθέσεις δικτύου XSS, MitM που εκμεταλλεύονται το perplexity.ai ή τις ενσωματωμένες επεκτάσεις μπορούν επίσης να οδηγήσουν στο ίδιο αποτέλεσμα. Πιο ανησυχητικά, καθώς και οι δύο επεκτάσεις είναι κρίσιμες για την λειτουργικότητα του Comet, η Perplexity τις έχει κρύψει από τον πίνακα ελέγχου της επέκτασης του Comet, εμποδίζοντας τους χρήστες να τις απενεργοποιήσουν ακόμη και αν έχουν τεθεί σε κίνδυνο. Αυτές οι ενσωματωμένες επεκτάσεις γίνονται μια «κρυφή πληροφορική» στην οποία οι ομάδες ασφαλείας και οι χρήστες έχουν μηδενική ορατότητα. Ενώ άλλα προγράμματα περιήγησης AI έχουν επίσης ενσωματωμένες επεκτάσεις, βρήκαμε μόνο το API MCP στο Comet προς το παρόν. Παρόμοια με το λειτουργικό σύστημα και την μηχανή αναζήτησης, η ιδιοκτησία της πλατφόρμας όπου λαμβάνει χώρα η πλειοψηφία της σύγχρονης εργασίας ήταν πάντα η μεγάλη φιλοδοξία για πολλές εταιρείες τεχνολογίας. Με την AI, υπάρχει τώρα η ευκαιρία να γίνουν τα προγράμματα περιήγησης πιο ισχυρά από ποτέ. 
 
 «Η πρώιμη εφαρμογή των API ελέγχου συσκευών σε προγράμματα περιήγησης AI είναι εξαιρετικά επικίνδυνη», τονίζει ο Vivek Ramachandran, ιδρυτής της SquareX. «Βλέπουμε ουσιαστικά ότι οι προμηθευτές προγράμματος περιήγησης παρέχουν στους εαυτούς τους, και ενδεχομένως σε τρίτους, το είδος της πρόσβασης σε επίπεδο συστήματος που θα απαιτούσε ρητή συγκατάθεση του χρήστη και αναθεώρηση ασφαλείας σε οποιοδήποτε παραδοσιακό πρόγραμμα περιήγησης. Οι εκμεταλλεύσεις του MCP API χρησιμεύουν ως έγκαιρη προειδοποίηση για τους κινδύνους τρίτων που μπορεί να εκθέσουν τους χρήστες στην κακή εφαρμογή των AI Browsers. "Η έγκαιρη εφαρμογή των API ελέγχου συσκευών σε προγράμματα περιήγησης AI είναι εξαιρετικά επικίνδυνη." Ιδρυτής του «Βλέπουμε ουσιαστικά ότι οι προμηθευτές φυλλομετρητών παρέχουν στον εαυτό τους, και ενδεχομένως σε τρίτους, το είδος της πρόσβασης σε επίπεδο συστήματος που θα απαιτούσε ρητή συγκατάθεση του χρήστη και αναθεώρηση ασφαλείας σε οποιοδήποτε παραδοσιακό πρόγραμμα περιήγησης. ΒΙΒΕΚ ΡΑΜΑΧΑΝΔΡΑΝ Κεφαλονιά ΒΙΒΕΚ ΡΑΜΑΧΑΝΔΡΑΝ Κεφαλονιά Χωρίς να απαιτείται λογοδοσία από τους χρήστες και την κοινότητα ασφαλείας, άλλα προγράμματα περιήγησης AI θα αγωνιστούν για να εφαρμόσουν παρόμοιες, ή πιο επεμβατικές, δυνατότητες για να παραμείνουν ανταγωνιστικές. η SquareX καλεί τους προμηθευτές προγράμματος περιήγησης AI να διατάξουν την αποκάλυψη για όλα τα API, να υποβληθούν σε ελέγχους ασφαλείας τρίτων και να παρέχουν στους χρήστες ελέγχους για να απενεργοποιήσουν ενσωματωμένες επεκτάσεις. Εάν η βιομηχανία δεν θέτει όρια τώρα, δημιουργούμε ένα προηγούμενο όπου τα προγράμματα περιήγησης AI μπορούν να παρακάμψουν δεκαετίες αρχών ασφαλείας κάτω από τη σημαία της καινοτομίας. Το demo video: https://youtu.be/qJl4XllT-9M https://youtu.be/qJl4XllT-9M Για περισσότερες πληροφορίες, οι χρήστες μπορούν να απευθυνθούν στο . Τεχνικό Blog Τεχνικό Blog Σχετικά με το SquareX Η επέκταση του προγράμματος περιήγησης μετατρέπει οποιοδήποτε πρόγραμμα περιήγησης σε οποιαδήποτε συσκευή σε ένα ασφαλές πρόγραμμα περιήγησης εταιρικής κλάσης, συμπεριλαμβανομένων των AI Browsers. η λύση αναγνώρισης και αντίδρασης του προγράμματος περιήγησης (BDR) της SquareX, που είναι η πρώτη στον κλάδο, δίνει τη δυνατότητα σε οργανισμούς να υπερασπιστούν ενεργά τις απειλές που προέρχονται από το πρόγραμμα περιήγησης, συμπεριλαμβανομένων των απατεώνων πράκτορες AI, επιθέσεις επανασύνθεσης τελευταίας μίλια, κακόβουλες επεκτάσεις και επιθέσεις ταυτότητας. Κεφαλονιά Κεφαλονιά Σε αντίθεση με τα ειδικά προγράμματα περιήγησης για επιχειρήσεις, η SquareX ενσωματώνεται ομαλά με τα υπάρχοντα προγράμματα περιήγησης καταναλωτών των χρηστών, παρέχοντας ασφάλεια χωρίς να θέτει σε κίνδυνο την εμπειρία των χρηστών. . Το www.sqrx.com Το www.sqrx.com Επικοινωνία Ο επικεφαλής του PR Τζούνις Λέου Κεφαλονιά Τσιτσιπάς@sqrx.com 
 
 Αυτή η ιστορία δημοσιεύθηκε ως δελτίο τύπου από το Cybernewswire στο πλαίσιο του Προγράμματος Blogging Επιχειρήσεων του HackerNoon. Αυτή η ιστορία δημοσιεύθηκε ως δελτίο τύπου από το Cybernewswire στο πλαίσιο του Προγράμματος Blogging Επιχειρήσεων του HackerNoon. Πρόγραμμα Πρόγραμμα

This is a PR written by or for the company mentioned within it. The writer has a vested interest in the company and products mentioned within.

Sign Up for Free

Book A Demo

Check Pricing

Visit Website

Αυτός ο ήχος παράγεται στην αρχική γλώσσα της ιστορίας!

Το σκοτεινό API MCP στο πρόγραμμα περιήγησης Comet παραβιάζει την εμπιστοσύνη των χρηστών, επιτρέποντας τον πλήρη έλεγχο συσκευών μέσω περιηγητών AI

About Author

ΣΧΟΛΙΑ

ΚΡΕΜΑΣΤΕ ΕΤΙΚΕΤΕΣ

ΑΥΤΟ ΤΟ ΑΡΘΡΟ ΠΑΡΟΥΣΙΑΣΤΗΚΕ ΣΤΟ

Related Stories

Elon Musk Accuses OpenAI Leaders of Conspiring to Violate RICO Laws

Crypto Networks Can Overcome Obstacles Open-Source Projects Face, Drips Founder Says

Someone Give Musk The Spotlight

OpenAI Subsidiaries Accused of Undermining Partnership Agreement with Musk

Elon Musk Accuses OpenAI Leaders of Conspiring to Violate RICO Laws

Crypto Networks Can Overcome Obstacles Open-Source Projects Face, Drips Founder Says

Someone Give Musk The Spotlight

OpenAI Subsidiaries Accused of Undermining Partnership Agreement with Musk

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps