Comet, il browser AI di Perplexity, vulnerabile a prompt injection: può esporre email e account personali

Brave Software ha individuato una grave vulnerabilità in Comet, l’assistente AI di Perplexity, che espone gli utenti a rischi di sicurezza e privacy tramite attacchi di prompt injection. L’incidente conferma l’urgenza di nuove architetture di protezione per l’AI agentica nei browser.

La scoperta è avvenuta in una delle sessioni di sviluppo dell'assistente AI Leo per il proprio browser Brave, durante un confronto comparato con gli assistenti Nanobrowser e Comet. Quest'ultimo, durante i test, ha mostrato una vulnerabilità significativa: quando l’utente chiede “riassumi questa pagina”, il sistema invia parti del contenuto direttamente al modello linguistico senza distinguere tra richiesta utile e contenuti non affidabili. In questo modo, eventuali istruzioni malevole possono essere eseguite come comandi.

In altri termini, l’assistente AI potrebbe essere indotto a svolgere azioni non richieste, o peggio ancora, eseguite su input malevoli nascosti nelle pagine web. Un commento su un social o un testo nascosto in un sito potrebbe trasformarsi in un’iniezione indiretta di comandi, portando l’assistente AI a compiere operazioni sensibili come accedere a conti bancari o sottrarre dati personali.

Il team di Brave ha mostrato un esempio pratico in cui un utente visita Reddit. In un commento nascosto da un tag spoiler, erano state inserite istruzioni dannose. Una volta attivata la funzione “riassumi questa pagina”, Comet ha eseguito comandi che hanno portato all’esfiltrazione dell’indirizzo email della vittima e persino al recupero di un codice OTP dalla casella Gmail dell’utente, permettendo così potenzialmente di compromettere l’account Perplexity.

Questo tipo di azione, definita indirect prompt injection, rappresenta una minaccia che supera le tradizionali barriere di sicurezza del Web, come Same-Origin Policy (SOP) e CORS. Infatti, l’AI opera con i privilegi dell’utente, potendo quindi avere accesso a email, servizi cloud, sistemi aziendali e dati bancari attraverso semplici istruzioni testuali.

Brave ha proposto diverse strategie per prevenire questo tipo di attacchi. In primo luogo, il browser dovrebbe distinguere chiaramente tra istruzioni dell’utente e contenuti esterni privi di fiducia. Inoltre, ogni azione individuata dal modello deve essere verificata rispetto alle reali intenzioni dell’utente. Per le operazioni sensibili, come l’invio di un’email o l’accesso a dati protetti, deve sempre essere richiesta una conferma esplicita. Infine, la modalità di navigazione agentica dovrebbe essere isolata da quella tradizionale per ridurre al minimo i rischi accidentali.

Il problema è stato individuato e segnalato a Perplexity il 25 luglio 2025. Dopo un primo intervento correttivo il 27 luglio, Brave ha segnalato che la soluzione non risultava completa. L’11 agosto è stata inviata una notifica di disclosure pubblica, e il 20 agosto i dettagli sono stati resi noti. Tuttavia, in seguito a ulteriori test, Brave ha chiarito che la vulnerabilità non era stata ancora del tutto mitigata.

Brave sottolinea di voler contribuire ad innalzare gli standard di sicurezza e privacy per tutta l’industria, collaborando con altri browser e comunità AI. L’obiettivo è sviluppare difese robuste e linee guida condivise per impedire che l’AI agentica possa diventare un nuovo vettore di attacco. Questo approccio vuole anticipare i rischi e rendere possibile una diffusione sicura dell’AI nei browser, in un contesto in cui i confini della navigazione web tradizionale non sono più sufficienti.

Il caso Comet dimostra quanto sia complesso garantire che un assistente AI esegua soltanto le azioni conformi alla volontà dell’utente. Con l’aumento delle capacità delle intelligenze artificiali, gli attacchi di prompt injection diventano una minaccia concreta e trasversale e per questo motivo i produttori di browser devono rendere la sicurezza e la privacy un pilastro centrale, prima di distribuire su larga scala strumenti in grado di agire autonomamente sul Web.