Palo Alto, California, 19 de noviembre de 2025/CyberNewsWire/--SquareX publicó una investigación crítica que expone una API oculta en Comet que permite que las extensiones en el navegador de IA ejecuten comandos locales y obtengan el control total sobre los dispositivos de los usuarios. La investigación revela que Comet ha implementado una API de MCP (chrome.perplexity.mcp.addStdioServer) que permite a sus extensiones incorporadas ejecutar comandos locales arbitrarios en los dispositivos de los usuarios, capacidades que los navegadores tradicionales prohíben explícitamente. La documentación existente sólo cubre la intención de la función, sin revelar que las extensiones incorporadas de Comet tienen acceso persistente a la API y la capacidad de lanzar aplicaciones locales arbitrariamente sin permiso del usuario, creando una violación masiva de la confianza del usuario y la transparencia. 
 
 “Durante décadas, los proveedores de navegadores han adherido a controles de seguridad estrictos que impiden que los navegadores, y especialmente las extensiones, controlen directamente el dispositivo subyacente”, explica Kabilan Sakthivel, investigador de SquareX. “Durante décadas, los proveedores de navegadores han adherido a controles de seguridad estrictos que impiden que los navegadores, y especialmente las extensiones, controlen directamente el dispositivo subyacente”, explica Kabilan Sakthivel, investigador de SquareX. 
 
 “Los navegadores tradicionales requieren API de mensajería nativa con entradas de registro explícitas y consentimiento del usuario para cualquier acceso local al sistema.En su ambición de hacer que el navegador sea más potente, Comet ha omitido todas estas salvaguardas con una API oculta que la mayoría de los usuarios ni siquiera saben que existe.Esta erosión de la confianza del usuario invierte fundamentalmente el reloj en décadas de principios de seguridad del navegador establecidos por proveedores como Chrome, Safari y Firefox.” “Los navegadores tradicionales requieren API de mensajería nativa con entradas de registro explícitas y consentimiento del usuario para cualquier acceso local al sistema.En su ambición de hacer que el navegador sea más potente, Comet ha omitido todas estas salvaguardas con una API oculta que la mayoría de los usuarios ni siquiera saben que existe.Esta erosión de la confianza del usuario invierte fundamentalmente el reloj en décadas de principios de seguridad del navegador establecidos por proveedores como Chrome, Safari y Firefox.” Actualmente, la API se encuentra en la extensión Agentic, y puede ser desencadenada por la página perplexity.ai, creando un canal oculto para que Comet acceda a datos locales y lance comandos / aplicaciones arbitrarias sin ningún control del usuario. Una única vulnerabilidad de XSS, un ataque de phishing exitoso contra un empleado de Perplexity, o una amenaza de insider instantáneamente daría a los atacantes un control sin precedentes a través del navegador sobre cada dispositivo del usuario de Comet. Esto crea un riesgo de terceros catastrófico donde los usuarios han renunciado a su seguridad de dispositivo a la postura de seguridad de Perplexity, sin una manera fácil de evaluar o mitigar el riesgo. En la demostración de ataque de SquareX, el equipo de investigación usó el estampado de la extensión para disfrazar una extensión maliciosa como la extensión de Analytics embedded al falsear su ID de extensión. Una vez cargado de lado, la extensión de Analytics maliciosa inyecta un script en la página perplexity.ai, que a su vez invoca la extensión de Agentic que finalmente utiliza el MCP para ejecutar WannaCry en el dispositivo de la víctima. Más preocupante, ya que ambas extensiones son críticas para la funcionalidad de agentes de Comet, Perplexity las ha ocultado del panel de control de la extensión de Comet, impidiendo a los usuarios deshabilitarlas incluso si están comprometidas. Estas extensiones incorporadas se convierten en una "IT oculta" que ni los equipos de seguridad ni los usuarios tienen visibilidad cero. Además, debido a la falta de documentación, no hay manera de saber si o cuando Comet podría ampliar el acceso a otros sitios "confiados". Mientras que otros navegadores de IA también tienen extensiones incorporadas, sólo hemos encontrado la API de MCP en Comet por el momento. Al igual que el sistema operativo y el motor de búsqueda, poseer la plataforma donde ocurre la mayoría del trabajo moderno siempre ha sido la gran ambición para muchas empresas de tecnología. Con la IA, ahora hay la oportunidad de hacer que los navegadores sean más potentes que nunca. 
 
 "La implementación temprana de las APIs de control de dispositivos en los navegadores de IA es extremadamente peligrosa", subraya Vivek Ramachandran, fundador de SquareX. "Estamos viendo que los proveedores de navegadores se otorgan a sí mismos, y potencialmente a terceros, el tipo de acceso a nivel del sistema que requeriría el consentimiento explícito del usuario y la revisión de seguridad en cualquier navegador tradicional. Los exploits de la API de MCP sirven como una advertencia temprana a los riesgos de terceros a los que la mala implementación de los navegadores de IA puede exponer a los usuarios. "La implementación temprana de las APIs de control de dispositivos en los navegadores de IA es extremadamente peligrosa". El fundador de “Estamos viendo que los proveedores de navegadores se otorgan a sí mismos, y potencialmente a terceros, el tipo de acceso a nivel del sistema que requeriría el consentimiento explícito del usuario y la revisión de seguridad en cualquier navegador tradicional. Vivek Ramachandran Cuarto Vivek Ramachandran Cuarto Sin necesidad de responsabilidad por parte de los usuarios y la comunidad de seguridad, otros navegadores de IA competirán para implementar capacidades similares o más invasivas para mantenerse competitivos.SquareX está pidiendo a los proveedores de navegadores de IA que manden la divulgación de todas las APIs, se sometan a auditorías de seguridad de terceros y proporcionen a los usuarios controles para deshabilitar las extensiones incorporadas. Si la industria no establece límites ahora, estamos estableciendo un precedente en el que los navegadores de IA pueden eludir décadas de principios de seguridad bajo la bandera de la innovación. Vídeo de Demo: https://youtu.be/qJl4XllT-9M https://youtu.be/qJl4XllT-9M Para más información, los usuarios pueden consultar el . technical blog Blog Técnico Sobre SquareX La extensión de navegador de SquareX transforma cualquier navegador en cualquier dispositivo en un navegador seguro de clase empresarial, incluidos los navegadores de IA. La solución de detección y respuesta del navegador (BDR) de la industria de SquareX capacita a las organizaciones para defenderse proactivamente contra las amenazas nativas del navegador, incluidos los agentes de IA maliciosos, los ataques de reajuste de última milla, las extensiones maliciosas y los ataques de identidad. Cuarto Cuarto A diferencia de los navegadores empresariales dedicados, SquareX se integra sin problemas con los navegadores de consumidores existentes de los usuarios, proporcionando seguridad sin comprometer la experiencia del usuario. . Siguiente www.sqrx.com Siguiente www.sqrx.com Contacto Jefe de PR JUNICE LIEW Cuarto Encuentros@sqrx.com 
 
 Esta historia fue publicada como un comunicado de prensa por Cybernewswire bajo HackerNoon's Business Blogging Program. Esta historia fue publicada como un comunicado de prensa por Cybernewswire bajo HackerNoon's Business Blogging Program. El programa El programa

This is a PR written by or for the company mentioned within it. The writer has a vested interest in the company and products mentioned within.

Sign Up for Free

Book A Demo

Check Pricing

Visit Website

Este audio es producido en el idioma original de la historia!

Demasiado Largo; Para Leer

La API de MCP obscura en el navegador de Comet viola la confianza del usuario, permitiendo el control completo del dispositivo a través de los navegadores de IA

La API de MCP obscura en el navegador de Comet viola la confianza del usuario, permitiendo el control completo del dispositivo a través de los navegadores de IA

About Author

COMENTARIOS

ETIQUETAS

ESTE ARTÍCULO FUE PRESENTADO EN

Related Stories

Liberando el poder de la IA. Una revisión sistemática de técnicas de vanguardia: resumen e introducción

Cómo mejorar su flujo de trabajo 10 veces: 17 aplicaciones esenciales

Toque para ganar: Telegram puede incorporar a los próximos 10 mil millones de usuarios de criptomonedas antes de Solana

Aumente su productividad con estas 18 herramientas para desarrolladores 🚀🔥

Liberando el poder de la IA. Una revisión sistemática de técnicas de vanguardia: resumen e introducción

Cómo mejorar su flujo de trabajo 10 veces: 17 aplicaciones esenciales

Toque para ganar: Telegram puede incorporar a los próximos 10 mil millones de usuarios de criptomonedas antes de Solana

Aumente su productividad con estas 18 herramientas para desarrolladores 🚀🔥

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps