Selon des recherches publiées par Straiker STAR Labs, une nouvelle attaque « agentic browser » vise le navigateur Comet de Perplexity. Présentée comme un « zero-click Google Drive Wiper », elle peut convertir un e‑mail apparemment anodin en une action destructive effaçant l’intégralité du contenu Google Drive d’un utilisateur.
L’attaque met en avant un vecteur d’exploitation lié aux navigateurs agentiques et à l’automatisation des tâches. L’impact annoncé est l’effacement complet d’un Google Drive. Les produits concernés incluent le navigateur Comet de Perplexity, ainsi que Gmail et Google Drive.
La méthode repose sur la connexion du navigateur à des services tels que Gmail et Google Drive pour automatiser des tâches routinières, en leur accordant des autorisations permettant d’exécuter des actions au nom de l’utilisateur — ce qui ouvre la voie à un enchaînement « zero‑click » destructif.
TTPs observés 🚩
- Abus d’automatisations/agents dans un « agentic browser »
- Chaîne d’exécution sans clic déclenchée par un e‑mail
- Connexion du navigateur à Gmail/Google Drive avec autorisations pour réaliser des actions
- Effacement programmatique des fichiers Google Drive
Cet article relève d’une publication de recherche visant à exposer une technique d’attaque et à illustrer ses impacts potentiels sur les intégrations agentiques navigateur‑services.
🔗 Source originale : https://thehackernews.com/2025/12/zero-click-agentic-browser-attack-can.html