Alig néhány nappal a Perplexity saját fejlesztésű, mesterséges intelligenciára épülő böngészőjének, a Comet-nek a debütálása után biztonsági kutatók riasztó felfedezést tettek. A „CometJacking” névre keresztelt sebezhetőség nem egyszerű szoftverhiba, hanem az úgynevezett agentic AI (cselekvőképes MI) alapvető tervezési hiányosságaiból fakad. A résen keresztül a támadók átvehetik az irányítást a felhasználó digitális asszisztense felett, és hozzáférhetnek olyan érzékeny adatokhoz is, mint a Gmail-levelezés vagy a naptárbejegyzések. Bár a cég villámgyorsan reagált, az eset alapjaiban rengeti meg a bizalmat az autonóm AI-böngészők iránt.
A mesterséges intelligencia új csatatere: A böngészőablak
A technológiai világ hónapok óta feszülten várta, hogy a Perplexity, amely az AI-alapú keresésben szerzett hírnevet, mikor lép ki a Google árnyékából egy önálló termékkel. A válasz november végén érkezett meg a Comet formájában. Ez nem csupán egy újabb felület weboldalak megjelenítésére; a cég ígérete szerint ez az első valódi „agentic browser”, azaz egy olyan böngésző, amelyben egy beépített AI-ügynök folyamatosan figyeli a felhasználó tevékenységét, és képes önállóan cselekedni.
A koncepció lenyűgöző: a böngésző nemcsak passzív megjelenítő, hanem aktív partner. Ha egy webshopban nézelődünk, a Comet automatikusan összehasonlítja az árakat más boltokkal. Ha kutatást végzünk, a háttérben releváns forrásokat gyűjt. Ez a kényelmi funkció azonban – mint most kiderült – egy hatalmas, tátongó biztonsági kaput nyitott a rendszeren.
Mi az a CometJacking? A hiba anatómiája
A SquareX és a LayerX biztonsági kutatócsapatai szinte egyidőben publikálták jelentéseiket egy kritikus sebezhetőségről, amelyet a szakma hamar elnevezett „CometJacking”-nek. A probléma gyökere abban rejlik, ahogyan a böngésző a felhasználói parancsokat és a weboldalak tartalmát kezeli.
A hagyományos böngészők (mint a Chrome vagy a Firefox) szigorú „homokozó” (sandbox) elven működnek: egy weboldal kódja nem férhet hozzá a rendszer más részeihez vagy más megnyitott fülekhez a felhasználó kifejezett engedélye nélkül. A Comet esetében azonban az AI-ügynöknek (AI Agent) szükségszerűen „látnia” kell mindent: a megnyitott e-maileket, a naptárat, a dokumentumokat, hogy segíteni tudjon.
A támadás menete a következő:
- A gyanútlan felhasználó rákattint egy speciálisan preparált linkre.
- A weboldalon elrejtett, emberi szemmel nem látható (például fehér háttéren fehér betűs) utasítások – úgynevezett indirekt promptok – találhatók.
- A Comet AI-ügynöke beolvassa az oldal tartalmát, beleértve a rejtett parancsokat is.
- Mivel az AI nem tett különbséget a felhasználó valós utasítása és a weboldalról beolvasott szöveg között, végrehajtja a támadó parancsát.
A demonstrált támadások során a kutatók képesek voltak rávenni a Comet asszisztenst, hogy olvassa ki a felhasználó Gmail-fiókjából a legutóbbi leveleket, kódolja azokat Base64 formátumba (hogy elkerülje az egyszerű tartalomszűrőket), majd továbbítsa az adatokat egy távoli szerverre. Mindezt anélkül, hogy a felhasználó bármit is észlelt volna, hiszen a böngésző „segítőkész” működésének álcája alatt zajlott a folyamat.
Az MCP API: A sebezhetőség technikai szíve
A probléma mélyebb rétege a Model Context Protocol (MCP) API implementációjában keresendő. Ez a protokoll felelős azért, hogy az AI-modell kontextust kapjon a böngésző állapotáról. A SquareX elemzése szerint a Comet bővítményei ezen az API-n keresztül olyan mély hozzáférést kaptak a helyi géphez, ami példátlan a böngészők történetében.
A támadók kihasználhatják, hogy az AI „túlságosan megbízik” a kontextusban. Míg egy hagyományos XSS (Cross-Site Scripting) támadást a modern böngészők viszonylag jól védenek, az AI-alapú támadásoknál a védelmi vonal elmosódik. Itt nem kód injektálásáról van szó a hagyományos értelemben, hanem a döntéshozó algoritmus átveréséről (social engineering az AI ellen). A veszélyt fokozza, hogy a Comet alapértelmezetten csatlakozhat külső szolgáltatásokhoz (Google Drive, Slack), így a kompromittálódott böngésző kulcsot jelent a felhasználó teljes digitális életéhez.
Hatások a piacra és a felhasználói bizalomra
A Perplexity számára ez a lehető legrosszabbkor jött. A cég éppen arra próbálta felépíteni márkáját, hogy ők a „tiszta”, reklámmentes és intelligens alternatíva a Google-lel szemben. A biztonsági rés azonban rávilágít az „agentic AI” modell gyerekbetegségeire. Ha egy szoftvernek ügynöki jogkört adunk, hogy helyettünk kattintson és olvasson, akkor a támadási felület drasztikusan megnő.
Az eset nemcsak a Perplexityt érinti, hanem az egész AI-böngésző piacot (beleértve az OpenAI hasonló törekvéseit és az Arc böngészőt is). A fejlesztőknek újra kell gondolniuk a jogosultságkezelést: hogyan lehet egy AI segítőkész anélkül, hogy sebezhetővé válna a manipulált tartalmakkal szemben?
Adatbiztonsági összehasonlítás
Az alábbi táblázat bemutatja, miben tér el a Comet architektúrája a hagyományos böngészőkétől, és hol keletkezett a rés.
| Funkció / Jellemző | Hagyományos Böngésző (Chrome/Edge) | Perplexity Comet (AI Agent) |
|---|---|---|
| Oldalolvasási jogosultság | Passzív, csak renderelés | Aktív, szemantikai értelmezés (DOM olvasás) |
| Adatok kezelése | Szigorú Same-Origin Policy | Cross-context (AI összeköti az infókat) |
| Bővítmény-kommunikáció | Korlátozott API hívások | MCP API (Mély rendszerintegráció) |
| Támadási vektor | Malware, Phishing, XSS | Indirect Prompt Injection (CometJacking) |
| Felhasználói beavatkozás | Szükséges (kattintás, letöltés) | Minimális (elég az oldal betöltése) |
Magyar vonatkozások: Miért fontos ez nekünk?
Magyarországon a technológiai szektor és a korai adaptálók körében a Perplexity népszerűsége rohamosan nő, köszönhetően a pontosabb magyar nyelvű találatoknak a hagyományos keresőkhöz képest. A Comet böngésző hazai bevezetése is sokakat vonzott, különösen a fejlesztői és marketinges körökben, akik produktivitásuk növelését várták az eszköztől.
Adatvédelmi szempontból azonban az eset felveti a GDPR-megfelelőség kérdését is. Ha egy magyar felhasználó adatait (pl. egy webbankos felületen vagy ügyfélkapus ügyintézés közben) az AI-asszisztens automatikusan feldolgozza és potenciálisan illetéktelenek kezére játssza, az súlyos jogi aggályokat szül. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) irányelvei egyelőre nem térnek ki specifikusan az „agentic” böngészők kockázataira, de ez az eset precedenst teremthet.
Kilátások: A javítás megérkezett, de a gyanú marad
A Perplexity dicséretére válik, hogy a hiba nyilvánosságra hozatala után órákon belül kiadták a javítócsomagot (v142.0.7444.60 verziószám alatt). A frissítés letiltja az MCP API kritikus részeit és szigorúbb szűrőket alkalmaz a weboldalakról érkező inputokra, megkülönböztetve azokat a felhasználó saját parancsaitól.
A kérdés azonban nem az, hogy ezt az egy hibát kijavították-e, hanem hogy az architektúra alapvetően biztonságos-e. A biztonsági szakértők szerint amíg az AI modellek nem képesek 100%-os biztonsággal szétválasztani az utasítást az adattól, addig a hasonló támadások (jailbreak, injection) kísérteni fognak. A felhasználóknak azt javasolják: óvatosan kezeljék azokat a böngészőket, amelyek „túl okosnak” tűnnek, és soha ne használják őket kritikus pénzügyi tranzakciókra, amíg a technológia nem érik be.
