CometJacking: un solo clic puede convertir al navegador Comet de Perplexity en extractor de datos

octubre 4, 2025

CometJacking: un solo clic puede convertir al navegador Comet de Perplexity en extractor de datos

Resumen del hallazgo

Investigadores de ciberseguridad han divulgado los detalles de un nuevo vector de ataque bautizado como «CometJacking» que apunta al navegador agente Comet de Perplexity. El ataque utiliza una técnica de inyección de prompt incrustada en un enlace aparentemente inocuo. Al hacer clic en ese enlace, el navegador puede ejecutar el prompt malicioso, lo que permite al agente recopilar y filtrar información sensible, incluso de servicios conectados como correo electrónico y calendario.

Contexto y por qué importa

Los navegadores y asistentes «agentic» —agentes impulsados por modelos de lenguaje que pueden ejecutar tareas en nombre del usuario— han ganado popularidad por su capacidad para automatizar búsquedas, resumir información y operar conectores hacia servicios de correo, calendario y almacenamiento. Esa capacidad para interactuar con fuentes externas y con credenciales amplía la superficie de ataque: ya no basta con proteger el navegador o la cuenta, sino que también es crucial controlar qué instrucciones externas puede aceptar y ejecutar el agente.

Las inyecciones de prompt son una categoría de ataque documentada desde la popularización de los grandes modelos de lenguaje. Consisten en introducir instrucciones maliciosas en entradas que el modelo procesará como parte de su contexto, con el objetivo de alterar su comportamiento o inducir la filtración de datos. En el caso de CometJacking, el mecanismo señalado por los investigadores combina la ingeniería social (un enlace que invita al clic) con la ejecución automática de prompts dentro del flujo del agente.

Análisis técnico y comentario para profesionales

Desde una perspectiva técnica, los elementos a considerar son tres:

  • Vector de entrega: un enlace que contiene o remite a contenido que, al ser procesado por Comet, introduce instrucciones en el contexto del agente.
  • Superficie de ejecución: la capacidad del agente para interpretar y priorizar esas instrucciones dentro de su cadena de tareas o contexto de conversación.
  • Conectores y permisos: la existencia de conexiones a servicios (correo, calendario, almacenamiento) que, si están autorizadas por el usuario o por tokens persistentes, permiten que el agente recupere o envíe datos fuera del entorno local.

Para los equipos de seguridad y desarrolladores, esto plantea varias líneas de trabajo prioritarias:

  • Modelado de amenazas centrado en agentes: actualizar los diagramas de amenaza para incluir prompts externos como fuentes de control del agente.
  • Validación de entradas y saneamiento contextual: no tratar automáticamente el contenido obtenido de enlaces o páginas externas como «instrucciones legítimas» para el agente sin una capa de verificación previa.
  • Control de permisos granular: minimizar el alcance de los tokens y conexiones que un agente puede usar, aplicar permisos con principio de mínimo privilegio y privilegios efímeros.

Un agente que puede leer y actuar sobre el correo o el calendario multiplica las consecuencias de una simple inyección de texto: no es sólo una respuesta equivocada, sino potencial exfiltración o manipulación de cuentas.

Casos comparables y antecedentes relevantes

Aunque CometJacking es el nombre asignado a este caso particular, el patrón—inyectar instrucciones maliciosas en el contexto de un modelo para inducir comportamiento no deseado—ha sido un tema recurrente en la investigación sobre seguridad de LLMs y agentes. Desde pruebas de «jailbreak» que eluden filtros de contenido hasta ejercicios de red-team que demuestran cómo un modelo puede revelar información sensible, la comunidad de seguridad viene advirtiendo sobre el riesgo de aceptar entradas no confiables como comandos.

De forma general y no controvertida:

  • Los ejercicios de red-team en la industria han mostrado que los modelos pueden ser manipulados mediante ingeniería de prompts.
  • La integración de asistentes con cuentas y APIs externas aumenta la importancia de controles de autorización y registro de auditoría.
  • Las mejores prácticas en seguridad de aplicaciones (principio de mínimos privilegios, tokens de corta duración, revisiones de permisos) son aplicables y necesarias también en entornos agentic.

Riesgos e implicaciones

Las implicaciones de una explotación exitosa de CometJacking incluyen, entre otras:

  • Exfiltración de información sensible: correos, eventos de calendario, archivos y metadatos vinculados a servicios conectados.
  • Uso indebido de cuentas: envío de mensajes o creación de entradas de calendario que podrían usarse para phishing, comprometer confianza o provocar acciones automatizadas.
  • Incumplimiento normativo y pérdida de privacidad: filtración de datos personales o empresariales que active obligaciones de notificación y sanciones regulatorias.
  • Daño reputacional y operativa: interrupción de procesos que dependen de la integridad de comunicaciones y calendarios.

Recomendaciones prácticas y mitigaciones

A continuación se recogen medidas accionables para distintos públicos: usuarios finales, administradores y desarrolladores de agentes.

  • Para usuarios finales:
    • No haga clic en enlaces de origen desconocido o no verificado desde dentro del navegador/cliente del agente.
    • Revise y limite los permisos que ha concedido al agente (acceso a correo, calendario, archivos). Revoque aplicaciones y accesos que no reconozca.
    • Active autenticación multifactor y notifíquese con alertas de actividad inusual en cuentas conectadas.
  • Para administradores y seguridad de TI:
    • Implemente políticas de control de egress y filtrado que impidan salidas no autorizadas desde agentes.
    • Use tokens con scopes mínimos y vida corta para conexiones a servicios; registre y audite el uso de esas credenciales.
    • Establezca flujos de aprobación para que los agentes no ejecuten automáticamente acciones sensibles sin la confirmación explícita del usuario.
    • Realice ejercicios regulares de red-team y pruebas de inyección de prompts para evaluar la resiliencia del entorno.
  • Para desarrolladores de agentes y plataformas:
    • Desacople la interpretación de contenido externo de la ejecución de acciones: trate los prompts provenientes de la web como datos que requieren validación y normalización antes de convertirse en instrucciones.
    • Implemente sandboxes y límites en las capacidades del agente; por ejemplo, simular acciones en un entorno de pruebas en lugar de ejecutar comandos sobre recursos reales sin vetos.
    • Proporcione interfaces de permiso granular y explicitas para cualquier conector a servicios con datos sensibles.
    • Incluya detección de patrones de prompt injection y reglas de mitigación en la capa de orquestación del agente.

Conclusión

CometJacking subraya una lección clara: la potencia de los agentes impulsados por IA viene acompañada de riesgos nuevos que combinan ingeniería social, diseño de modelos y administración de permisos. Proteger entornos agentic requiere tanto controles técnicos (menos privilegios, validación de entradas, auditoría) como decisiones de producto que eviten la ejecución automática de instrucciones externas. Usuarios y organizaciones deben asumir que cualquier conector o permiso persistente incrementa el riesgo y actuar para mitigarlo.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

CoPhish: nueva técnica que usa agentes de Copilot Studio para robar tokens OAuth
Noticias Ciberseguridad
Ataques masivos explotan plugins antiguos de WordPress: GutenKit y Hunk Companion permiten RCE
Noticias Ciberseguridad
TP‑Link parchea cuatro fallos en Omada Gateway; dos permiten ejecución remota de código
Noticias Ciberseguridad
Cierre inmediato de DNS0.EU: el servicio DNS público europeo cesa por problemas de sostenibilidad
Noticias Ciberseguridad