Palo Alto, California, 19 de novembro de 2025/CyberNewsWire/--SquareX publicou unha investigación crítica que expón unha API oculta en Comet que permite que as extensións no navegador de IA executen comandos locais e obteñan o control total sobre os dispositivos dos usuarios. A investigación revela que Comet implementou unha API MCP (chrome.perplexity.mcp.addStdioServer) que permite que as súas extensións incorporadas executen comandos locais arbitrarios nos dispositivos dos usuarios, capacidades que os navegadores tradicionais prohiben explicitamente. A documentación existente só cobre a intención da característica, sen revelar que as extensións embebidas de Comet teñen acceso persistente á API e a capacidade de lanzar aplicacións locais arbitrariamente sen permiso do usuario, creando unha violación masiva da confianza e transparencia do usuario. 
 
 "Durante décadas, os vendedores de navegadores adheríronse a estritos controis de seguridade que impiden que os navegadores, e especialmente as extensións, controlen directamente o dispositivo subxacente", explica Kabilan Sakthivel, investigador de SquareX. "Durante décadas, os vendedores de navegadores adheríronse a estritos controis de seguridade que impiden que os navegadores, e especialmente as extensións, controlen directamente o dispositivo subxacente", explica Kabilan Sakthivel, investigador de SquareX. 
 
 "Os navegadores tradicionais requiren API de mensaxería nativa con entradas de rexistro explícitas e consentimento do usuario para calquera acceso ao sistema local.Na súa ambición de facer o navegador máis poderoso, Comet ocultou todas estas salvagardas cunha API oculta que a maioría dos usuarios nin sequera saben que existe.Esta erosión da confianza do usuario inverte fundamentalmente o reloxo sobre décadas de principios de seguridade do navegador establecidos por provedores como Chrome, Safari e Firefox." "Os navegadores tradicionais requiren API de mensaxería nativa con entradas de rexistro explícitas e consentimento do usuario para calquera acceso ao sistema local.Na súa ambición de facer o navegador máis poderoso, Comet ocultou todas estas salvagardas cunha API oculta que a maioría dos usuarios nin sequera saben que existe.Esta erosión da confianza do usuario inverte fundamentalmente o reloxo sobre décadas de principios de seguridade do navegador establecidos por provedores como Chrome, Safari e Firefox." Actualmente, a API atópase na extensión Agentic, e pode ser desencadeada pola páxina perplexity.ai, creando un canal oculto para que Comet acceda a datos locais e lance comandos / aplicacións arbitrarias sen ningún control do usuario. Unha única vulnerabilidade XSS, un ataque de phishing exitoso contra un empregado de Perplexity, ou unha ameaza de insider daría instantaneamente aos atacantes un control sen precedentes a través do navegador sobre cada dispositivo do usuario de Comet. Na demostración de ataque de SquareX, o equipo de investigación usou estampado de extensión para disfrazar unha extensión maliciosa como a extensión de Analytics incorporada, falsificando o seu ID de extensión. Unha vez cargado de lado, a extensión de Analytics maliciosa inxecta un script na páxina perplexity.ai, que á súa vez invoca a extensión de axente que finalmente usa o MCP para executar WannaCry no dispositivo da vítima. Máis preocupante, xa que ambas as extensións son críticas para a funcionalidade axente de Comet, Perplexity ocultounas do panel de control de extensións de Comet, impedindo aos usuarios de deshabilitalas aínda que estean comprometidas. Estas extensións embebidas convértense nunha "IT oculta" sobre a que nin os equipos de seguridade nin os usuarios teñen visibilidade cero. Mentres outros navegadores de IA tamén teñen extensións incorporadas, só atopamos a API de MCP en Comet por agora. Do mesmo xeito que o sistema operativo e o motor de busca, posuír a plataforma onde ocorre a maioría do traballo moderno sempre foi a gran ambición para moitas empresas de tecnoloxía. Con AI, agora hai a oportunidade de facer os navegadores máis poderosos que nunca. 
 
 "A implantación precoz das APIs de control de dispositivos nos navegadores de IA é extremadamente perigosa", subliña Vivek Ramachandran, fundador de SquareX. "Estamos vendo que os vendedores de navegadores se conceden a si mesmos, e potencialmente a terceiros, o tipo de acceso a nivel do sistema que requiriría o consentimento explícito do usuario e a revisión de seguridade en calquera navegador tradicional. Os exploits da API de MCP serven como unha advertencia precoz aos riscos de terceiros que a mala implementación dos navegadores de IA pode expoñer aos usuarios. "A implementación precoz das APIs de control de dispositivos nos navegadores de IA é extremadamente perigosa". Fundador de “Estamos basicamente vendo os provedores de navegadores que se conceden a si mesmos, e potencialmente a terceiros, o tipo de acceso a nivel do sistema que requiriría o consentimento explícito do usuario e a revisión de seguridade en calquera navegador tradicional. Viviña Ramachandran Squarex Viviña Ramachandran Squarex Sen a demanda de responsabilidade dos usuarios e da comunidade de seguridade, outros navegadores de IA competirán para implementar capacidades similares ou máis invasivas para permanecer competitivos. SquareX está a pedir aos provedores de navegadores de IA que manden a divulgación de todas as APIs, que se sometan a auditorías de seguridade de terceiros e que proporcionen aos usuarios controis para desactivar as extensións incorporadas. Se a industria non establece fronteiras agora, estamos a establecer un precedente no que os navegadores de IA poden ignorar décadas de principios de seguridade baixo a bandeira da innovación. Vídeo de demo: https://youtu.be/qJl4XllT-9M https://youtu.be/qJl4XllT-9M Para máis información, os usuarios poden consultar o . Blog Técnico Blog Técnico Máis sobre SquareX A extensión do navegador converte calquera navegador en calquera dispositivo nun navegador seguro de nivel empresarial, incluídos os navegadores de IA. A solución de detección e resposta ao navegador (BDR) de SquareX, primeira da industria, habilita ás organizacións para defenderse de forma proactiva contra as ameazas nativas do navegador, incluíndo axentes de IA fraudulentos, ataques de reassembly de última milla, extensións maliciosas e ataques de identidade. Squarex Squarex A diferenza dos navegadores empresariais dedicados, SquareX se integra sen problemas cos navegadores de consumidores existentes dos usuarios, proporcionando seguridade sen comprometer a experiencia do usuario. . Páxina www.sqrx.com Páxina www.sqrx.com Contacto Xefe de PR Xulio Liew Squarex xuntanza@sqrx.com 
 
 Esta historia foi publicada como un comunicado de prensa por Cybernewswire baixo HackerNoon's Business Blogging Program. Esta historia foi publicada como un comunicado de prensa por Cybernewswire baixo HackerNoon's Business Blogging Program. Programacións Programacións

This is a PR written by or for the company mentioned within it. The writer has a vested interest in the company and products mentioned within.

Sign Up for Free

Book A Demo

Check Pricing

Visit Website

Este audio está producido na lingua orixinal da historia!

A API de MCP obscura no navegador de Comet viola a confianza do usuario, permitindo o control completo do dispositivo a través dos navegadores de IA

About Author

COMENTARIOS

Etiquetas colgantes

ESTE ARTIGO FOI PRESENTADO EN

Related Stories

R Systems BlogBook—Chapter 1: Round 3 is Now Open for Submissions🎉

HackerNoon Decoded 2024: Celebrating Our Product Management Community!

HackerNoon Decoded 2024: Celebrating Our Programming Community!

R Systems Blogbook—Chapter 1 is Now Open for Submissions🎉

R Systems BlogBook—Chapter 1: Round 3 is Now Open for Submissions🎉

HackerNoon Decoded 2024: Celebrating Our Product Management Community!

HackerNoon Decoded 2024: Celebrating Our Programming Community!

R Systems Blogbook—Chapter 1 is Now Open for Submissions🎉

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps