Perplexity

Pesquisadores de segurança da Brave descobriram uma vulnerabilidade crítica no navegador Comet da Perplexity, que permite a injeção de comandos maliciosos por meio de texto oculto em capturas de tela. Essa falha explora a esteganografia para esconder instruções perigosas em conteúdos da web. Ao tirar uma captura de tela de uma página comprometida, o navegador utiliza tecnologia de reconhecimento óptico de caracteres (OCR) para extrair todo o texto, incluindo os comandos maliciosos ocultos. O problema crítico é que essas instruções são enviadas diretamente para o sistema de IA sem qualquer filtragem, permitindo que atacantes manipulem o navegador para realizar ações não autorizadas. As consequências para os usuários são graves, especialmente para aqueles que mantêm sessões ativas em contas sensíveis, pois um ataque bem-sucedido pode resultar em acesso não autorizado a contas bancárias, roubo de e-mails e comprometimento de sistemas corporativos. Os pesquisadores da Brave relataram a vulnerabilidade à Perplexity em 1º de outubro de 2025, dando tempo para a empresa corrigir o problema antes da divulgação pública. Até que medidas de segurança adequadas sejam implementadas, os especialistas recomendam que os usuários evitem manter contas sensíveis logadas ao usar recursos de navegação do Comet.

Pesquisadores de cibersegurança revelaram um novo ataque denominado CometJacking, que visa o navegador de IA Comet da Perplexity. Este ataque utiliza links maliciosos que, ao serem clicados, injetam comandos ocultos no navegador, permitindo que dados sensíveis, como informações de e-mail e calendário, sejam extraídos sem o conhecimento do usuário. A técnica de injeção de prompt se aproveita de uma URL manipulada que, em vez de direcionar o usuário para um site legítimo, instrui o assistente de IA a acessar sua memória e coletar dados, que são então codificados em Base64 e enviados para um servidor controlado pelo atacante. Embora a Perplexity tenha minimizado o impacto da descoberta, o ataque destaca a vulnerabilidade de ferramentas nativas de IA, que podem contornar as proteções tradicionais de segurança. Especialistas alertam que os navegadores de IA representam um novo campo de batalha para a segurança cibernética, exigindo que as organizações implementem controles rigorosos para detectar e neutralizar esses tipos de ataques antes que se tornem comuns.

A parceria entre a 1Password e a Perplexity resultou no lançamento do navegador Comet AI, que se destaca por oferecer segurança de credenciais como prioridade. O navegador inclui uma extensão da 1Password, permitindo que os usuários salvem e armazenem senhas e chaves de acesso com criptografia de ponta a ponta. Além disso, o Comet AI armazena dados de navegação localmente, evitando que servidores da Perplexity processem essas informações, o que garante maior privacidade. O navegador também possui funcionalidades de preenchimento automático para nomes de usuário, senhas e códigos de autenticação de dois fatores, além de permitir a geração e sincronização de senhas únicas entre dispositivos. Kyle Polley, da Perplexity, enfatizou que a segurança foi uma prioridade desde o início do desenvolvimento do Comet, e Anand Srinivas, da 1Password, reafirmou o compromisso da empresa em manter os dados dos usuários seguros. Essa inovação é especialmente relevante em um cenário onde as ameaças cibernéticas estão em constante crescimento.