Исследователи из Zenity Labs показали, как с помощью специально подготовленного календарного приглашения можно заставить агентский браузер Comet от Perplexity украсть локальные файлы и получить полный контроль над аккаунтом 1Password.
По данным Zenity Labs, они реализовали две цепочки атак, которые запускаются через одно и то же действие пользователя: он просит Comet обработать приглашение в календаре. После этого все шаги выполняются в фоновом режиме, без дополнительных действий со стороны человека.
Календарные приглашения в этом случае только пример. Исследователи отмечают, что тот же подход можно применить через письма, документы, сайты или загруженные файлы, если Comet обрабатывает их как часть делегированной задачи.
Первая атака нацелена на локальную файловую систему. Инструкции внутри приглашения заставляют Comet обходить каталоги, открывать конфиденциальные файлы и отправлять их содержимое на внешний сервер через URL-параметры. Для браузера такие действия выглядят как обычные запросы страниц.
Вторая атака более опасна. Comet переходит в уже авторизованный веб-хранилище 1Password, ищет сохранённые записи, показывает пароли и отправляет эти данные атакующему. В расширенной версии агент меняет пароль аккаунта, получает электронную почту и Secret Key и тем самым обеспечивает полный захват учётной записи.
По словам Zenity Labs, исследование началось после объявления партнёрства Perplexity и 1Password в сентябре 2025 года, в рамках которого менеджер паролей встроили напрямую в среду браузера Comet.
Ни одна из атак не использует классические уязвимости в программном коде. Comet действует строго в рамках своих возможностей, опираясь на текущую сессию браузера с уже выполненной авторизацией. Исследователи называют это явление «Intent Collision»: агент не может чётко разделить намерения пользователя и указания злоумышленника, поэтому объединяет их в общий план действий.
В случае с 1Password ситуацию ухудшает поведение расширения браузера: оно по умолчанию остаётся разблокированным до восьми часов и автоматически авторизует пользователя в веб-интерфейсе. Любой процесс в контексте браузера получает доступ к хранилищу паролей.
Техника атаки специально подстроена под внутреннюю архитектуру Comet. Исследователи сначала извлекли системный промпт Comet и обнаружили, что агент использует внутреннюю структуру <system_reminder>. Затем они применили этот формат в изменённом календарном приглашении, чтобы их инструкции имели повышенный приоритет.
Видимая часть приглашения содержит только обычные детали встречи. Глубже, после большого количества пустых строк, находятся реальные инструкции. Там же исследователи разместили фиктивный элемент кнопки с Node ID; Comet воспринимает его как настоящую интерактивную кнопку, поскольку он совпадает с внутренним представлением элементов страницы.
Дополнительно в тексте использована смесь иврита, английского и повествовательный стиль. Шаги оформлены как история, в которой «Алиса просит своего помощника о помощи». По оценке Zenity Labs, такая подача снижает вероятность того, что стандартные механизмы безопасности распознают содержание как вредоносные указания.
Zenity Labs сообщили о проблемах в Perplexity и 1Password в октябре и ноябре 2025 года. Perplexity внедрила жёсткую блокировку, которая на уровне исходного кода запрещает Comet доступ к путям file://. Исследователи отдельно отмечают такой подход: компания рассматривает агентский браузер как недоверенную сущность и ограничивает его возможности на уровне кода, а не перекладывает это решение на языковую модель.
После первоначального патча Zenity удалось обойти защиту через путь view-source:file:///, из-за чего Perplexity выпустила второй фикс в феврале 2026 года. Пользователи также могут вручную блокировать чувствительные домены в настройках по адресу comet://settings/assistant.
Компания 1Password добавила в продукт опции, которые позволяют отключить автоматический вход и требовать подтверждение перед подстановкой паролей. Кроме того, 1Password опубликовала отдельное уведомление по безопасности.
По словам исследователей, обе компании отреагировали конструктивно. Однако если блокировка доступа к файловой системе в Comet включена по умолчанию, то защита в 1Password и блокировка доменов в Comet зависят от ручной настройки пользователем. Те, кто не меняет параметры, остаются уязвимы. Многофакторная аутентификация защищает от полного захвата аккаунта, но не мешает краже отдельных записей из хранилища.
Zenity Labs рекомендуют применять к агентским браузерам подход zero trust: минимальные права доступа и максимальное недоверие по умолчанию. По их мнению, атаки через внедрение инструкций остаются нерешённой проблемой, и по мере роста автономности ИИ-систем поверхность атаки увеличивается.
Источник: Zenity Labs, Perplexity, 1Password.
