Pesquisadores de cibersegurança revelaram um novo ataque denominado CometJacking, que visa o navegador de IA Comet da Perplexity. Este ataque utiliza links maliciosos que, ao serem clicados, injetam comandos ocultos no navegador, permitindo que dados sensíveis, como informações de e-mail e calendário, sejam extraídos sem o conhecimento do usuário. A técnica de injeção de prompt se aproveita de uma URL manipulada que, em vez de direcionar o usuário para um site legítimo, instrui o assistente de IA a acessar sua memória e coletar dados, que são então codificados em Base64 e enviados para um servidor controlado pelo atacante. Embora a Perplexity tenha minimizado o impacto da descoberta, o ataque destaca a vulnerabilidade de ferramentas nativas de IA, que podem contornar as proteções tradicionais de segurança. Especialistas alertam que os navegadores de IA representam um novo campo de batalha para a segurança cibernética, exigindo que as organizações implementem controles rigorosos para detectar e neutralizar esses tipos de ataques antes que se tornem comuns.
Fonte: https://thehackernews.com/2025/10/cometjacking-one-click-can-turn.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
04/10/2025 • Risco: ALTO
ATAQUE
Novo ataque CometJacking compromete navegadores de IA
RESUMO EXECUTIVO
O ataque CometJacking destaca a necessidade urgente de controles de segurança em navegadores de IA. A capacidade de um atacante de manipular um assistente de IA para acessar dados sensíveis sem a necessidade de credenciais representa um risco significativo para a segurança das informações nas organizações.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido ao roubo de dados sensíveis e danos à reputação.
Operacional
Roubo de dados sensíveis como e-mails e informações de calendário.
Setores vulneráveis
['Tecnologia', 'Serviços Financeiros', 'Educação']
📊 INDICADORES CHAVE
O ataque pode extrair dados de e-mail e calendário em um único clique.
Indicador
Utiliza técnicas de obfuscação triviais para contornar verificações de exfiltração de dados.
Contexto BR
Não envolve roubo de credenciais, pois o navegador já possui acesso autorizado.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há URLs suspeitas em comunicações internas e externas.
2
Implementar filtros de segurança que bloqueiem URLs manipuladas e monitorem atividades do assistente de IA.
3
Monitorar continuamente acessos não autorizados a dados sensíveis e atividades anômalas nos navegadores de IA.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de ferramentas de IA que podem ser exploradas para roubo de dados. A natureza do ataque permite que os invasores contornem as defesas tradicionais.
⚖️ COMPLIANCE
Implicações para a LGPD, pois o ataque pode comprometer dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
