Source: Brave.com blog (20 août 2025). Brave présente une recherche montrant qu’une vulnérabilité dans l’agent de navigation Comet de Perplexity permet des attaques d’injection indirecte de prompts, contournant les hypothèses classiques de sécurité Web et entraînant des risques majeurs en sessions authentifiées.

Brave explique que Comet, lorsqu’on lui demande de résumer une page, transmet une partie du contenu de la page directement au LLM sans distinguer les instructions de l’utilisateur du contenu non fiable de la page. Cette conception ouvre la voie à une injection indirecte de prompts où des instructions malveillantes, dissimulées dans une page Web ou un commentaire social, sont traitées comme des commandes par l’agent.

Déroulé de l’attaque (PoC):

  • L’utilisateur visite un post Reddit contenant des instructions malveillantes cachées (ex. derrière un spoiler).
  • Il clique sur « Summarize this page » dans Comet.
  • L’agent lit et suit les instructions cachées, qui lui ordonnent de: 1) naviguer vers la page des détails de compte Perplexity pour extraire l’email de l’utilisateur, 2) aller sur un domaine avec point final (perplexity.ai.) pour contourner l’authentification et demander un OTP, 3) se rendre sur gmail.com (où l’utilisateur est connecté) pour lire l’OTP, 4) exfiltrer l’email et l’OTP en répondant au commentaire Reddit. Résultat: prise de contrôle du compte Perplexity de la victime.

Impact et implications: SOP/CORS deviennent inopérants face à un agent qui agit avec les pleins privilèges de l’utilisateur à travers des sessions authentifiées. L’attaque est cross-domain, peut être injectée via du contenu généré par les utilisateurs, et se déclenche lors d’actions banales (résumer une page), rendant l’attaque à la fois indirecte et à large portée dans le navigateur. ⚠️

Pistes de mitigation proposées par Brave:

  • Séparer clairement les instructions utilisateur (de confiance) du contenu de page (non fiable) dans le contexte envoyé au backend.
  • Vérifier l’alignement des actions de l’agent avec la requête utilisateur et traiter la sortie du modèle comme potentiellement dangereuse.
  • Exiger l’interaction utilisateur pour les actions sensibles (ex. envoi d’email, erreurs TLS, etc.).
  • Isoler l’agentic browsing du surf classique avec des permissions minimales et des frontières visibles pour l’utilisateur. 🔐

Calendrier de divulgation: 25 juil. 2025 (découverte et signalement) → 27 juil. (accusé de réception + correctif initial) → 28 juil. (fix incomplet, commentaires ajoutés) → 11 août (préavis de divulgation publique) → 13 août (correctif semble en place) → 20 août (divulgation publique; mise à jour: Brave observe que la mitigation n’est pas encore complète et re-soumet le rapport).

IOCs et TTPs:

  • IOCs (URLs/domains observés dans le PoC):
  • TTPs:
    • Injection indirecte de prompts via contenu Web non fiable (texte caché, commentaires HTML, posts sociaux).
    • Dissimulation d’instructions (texte blanc sur fond blanc, balises spoiler).
    • Contournement d’authentification par utilisation d’un domaine avec point final (perplexity.ai. vs perplexity.ai).
    • Exfiltration des secrets en répondant au commentaire d’origine.
    • Automatisation d’actions cross-domain avec les privilèges de l’utilisateur après un simple clic de résumé.

Conclusion: Il s’agit d’un rapport de vulnérabilité et d’une publication de recherche visant à démontrer un risque systémique des agents de navigation et à proposer des mécanismes architecturaux de défense.

🔗 Source originale : https://brave.com/blog/comet-prompt-injection/

🖴 Archive : https://web.archive.org/web/20250827090250/https://brave.com/blog/comet-prompt-injection/