CometブラウザのわかりにくいMCP APIがユーザーの信頼を損ない、AIブラウザによる完全なデバイス制御が可能に from securityboulevard.com

CometブラウザのわかりにくいMCP APIがユーザーの信頼を損ない、AIブラウザによる完全なデバイス制御が可能に from securityboulevard.com security summary

CometブラウザのわかりにくいMCP APIがユーザーの信頼を損ない、AIブラウザによる完全なデバイス制御が可能に from securityboulevard.com

CometブラウザのわかりにくいMCP APIがユーザーの信頼を損ない、AIブラウザによる完全なデバイス制御が可能に from securityboulevard.com
securityboulevard.com
Obscure MCP API in Comet Browser Breaches User Trust, Enabling Full Device Control via AI Browsers - securityboulevard.com
Palo Alto, California, 19th November 2025, CyberNewsWire

SquareXは、AIブラウザに隠されたAPIが存在することを明らかにしました。
この攻撃は、拡張機能ストンプ(拡張機能を踏みつけること)を用いて、埋め込まれたアナリティクス拡張機能をエージェント拡張機能に偽装することで実行されました。
攻撃者はユーザーの同意なしにローカルコマンドを実行し、被害者のデバイス上で他の「信頼できる」アプリを起動することができます。
この機能に関する公式ドキュメントはまだ限られているため、PerplexityはComet拡張機能ダッシュボードからこの機能を非表示にしています。

コメント

タイトルとURLをコピーしました