Perplexity Comet: Indirect Prompt Injection con textos invisibles in imágenes

Ayer os decía que esto de tener un Agentic AI en tu navegador con acceso a tus cuentas y servicios digitales no me parecía una gran idea de seguridad. Os dejaba un caso de Prompt Injection en Perplexity Comet y el disclaimer de ChatGPT Atlas al respecto, que no es nada halagüeño desde el punto de vista de tu protección personal. Hoy, otro Prompt Injection en Perplexity Comet explotado en este caso a partir de textos ocultos en imágenes, que el ojo humano no es capaz de ver.

Figura 1: Perplexity Comet: Indirect Prompt Injection con textos invisibles in imágenes

La vulnerabilidad, junto con una similar para el navegador Fellou que también es un AI-First Web Browser, ha sido reportada por el equipo de Brave, y la tienes en el artículo: "Unseeable prompt injections in screenshots: more vulnerabilities in Comet and other AI browsers", que merece la pena que te leas si te interesa el mundo del Hacking & Pentesting con Inteligencia Artificial. 

Figura 2: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso, 

Como su nombre indica, el Prompt Injection se encuentra en una imagen que está publicada en una web, donde el ojo humano no aprecia nada, pero que si la víctima, desde Perplexity Comet pide que se analice, se ejecuta completamente.

Figura 3: Se pide Perplexity Comet que analice

la imagen y busque al autor de la foto

Cuando se solicita a Perplexity Comet que analice la fotografía, el Prompt Injection está en ella, invisible para el ojo humano, pero no para los servicios de Artificial Vision de Perplexity Comet, lo que hace que el Agentic AI comience a ejecutar el ataque.

Figura 4: Leyendo y ejecutando el Prompt

Como se puede ver en la imagen anterior, el Agentic AI ha accedido a la cuenta de Perplexity Pro, ha buscado cuando es la dirección de correo electrónico del usuario y va a solicitar que se envíe un código de recuperación para cambiar la contraseña. En este caso el atacante sabe cuál es el nombre de usuario, así que solo quiere pedir el cambio de contraseña para robar luego el código de verificación del cambio de contraseña.

Figura 5: Navegando a una página para exfiltrar el código

Para conseguir que el Agentic AI de Perplexity Comet exfiltre el código de seguridad, se le pide que navegue a una página y en la URL ponga el código que tiene que recoger del correo de Gmail, para conseguir quién es el autor de la fotografía. Lógicamente el código que va a enviar es el de seguridad de Perplexity.

Figura 6: Con las instrucciones dadas, esa web le dirá

el autor, pero sólo si envía el código.

Como tiene acceso a la cuenta de Gmail, Perplexity Comet accede al correo, selecciona el código del mensaje que ha recibido, y lo prepara para enviárselo a la web que supuestamente va a decirle quién es el autor de la imagen que se preguntó al principio.

Figura 7: Accediendo a Gmail para conseguir

el código de seguridad de Perplexity

Y como vemos en el Agentic AI, Perplexity Comet nos informa de que ha podido acceder perfectamente al código en la cuenta de Gmail, para que ahora lo pueda exfiltrar tal y cómo se le ha pedido, enviándolo como parámetro GET de la URL.

Figura 8: Código de seguridad accedido en el correo de Gmail

Y, cómo no, el modo de navegación automático para hacer acciones, envía el código exfiltrado com parámetro GET en la URL del atacante. La cuenta acaba de ser robada de manera automática.

Figura 9: Código exfiltrado por GET

Al final, el ataque son unos segundos, y el Agentic AI hace todas estas acciones en nombre del usuario, así que si te roban cuentas de banco, cuentas de servicios digitales, redes sociales, etcétera, no vengas luego diciendo que tú no sabías, porque como os dije, queda claro en el disclaimer de ChatGPT Atlas.

Figura 10: ChatGPT Atlas Disclaimer en Español

Aquí tienes el vídeo completo publicado por los investigadores, que en menos de un minuto se puede ver completamente cómo funciona este ataque de manera exitosa (para el que ataca, no para la víctima). Aquí lo tienes:

Figura 11: PoC Indirect Prompt Injection en Perplexity Comet

con textos invisibles in imágenes

Si quieres más ejemplos de esto, aquí tienes otros casos similares en AI First Web Browsers, Agentes AI en plataformas, y de grandes fabricantes de software:

• EchoLeak: Un Cross Prompt Injection Attack (XPIA) para Microsoft Office 365 Copilot
• Google Gemini para Gmail: Cross-Domain Prompt Injection Attack (XPIA) para hacer Phishing
• Hacking Gitlab Duo: Remote Prompt Injection, Malicious Prompt Smuggling, Client-Side Attacks & Private Code Stealing
• Hacking IA: Indirect Prompt Injection en Perplexity Comet
• ShadowLeak Attack para Agentes IA de Deep Research en ChatGPT
• ForcedLeak: Indired Prompt Injection en Salesforce AgentForce
• AgentFlayer exploit para ChatGPT: Prompt Injection para exfiltrar datos de tus almacenes conectados
• Indirect Prompt Injection en Perplexity Comet para atacar tu Stripe y el riesgo de los AI-First Web Browsers con ChatGPT Atlas

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)