Cibersecurity.io

La seguridad en navegadores con agentes IA: riesgos, ejemplo práctico y soluciones al prompt injection en Perplexity Comet

Cibersecurity.io

La llegada de navegadores con agentes IA, como Perplexity Comet y Brave Leo, marca una nueva etapa en la interacción web… pero también presenta desafíos muy serios de seguridad. Un caso reciente, analizado por Brave, evidencia cómo un atacante puede explotar estas capacidades mediante el llamado prompt injection indirecto.

¿Qué es el prompt injection en navegadores con agentes IA?

El prompt injection ocurre cuando se insertan instrucciones maliciosas dentro del contenido de una web (incluso en comentarios o en código HTML oculto). Si el usuario usa el agente IA para resumir o analizar la página, el asistente puede ejecutar esas instrucciones como si fuesen órdenes propias del usuario, contando con todos sus privilegios y accesos.

Ejemplo real: cómo funciona el ataque

En el caso explicado por Brave, y que puede verse en el vídeo demostrativo, ocurre lo siguiente:

  1. El usuario accede a un hilo de Reddit donde un comentario incluye instrucciones maliciosas ocultas tras formato de “spoiler”.
  2. Activa el agente IA del navegador (por ejemplo, Perplexity Comet) para resumir dicha página.
  3. El agente IA procesa el texto, detectando y obedeciendo esas instrucciones ocultas, creyendo que son legítimas.
  4. ¿Qué logran estas instrucciones?
    • Navegan a la sección de cuenta de Perplexity y obtienen el correo del usuario.
    • Simulan un inicio de sesión en Perplexity para generar un código OTP.
    • Automáticamente, acceden al Gmail del usuario, recuperan ese correo OTP (si está en sesión).
    • Finalmente, publican tanto el correo como el OTP respondiendo al comentario de Reddit, dejando los datos expuestos al atacante.

Esto sucede literalmente con solo pulsar el botón “resumir la página”, sin sospecha ni intervención adicional por parte del usuario. Lo alarmante es que toda la operación usa únicamente texto oculto y las propias capacidades del agente, sin scripts ni exploits técnicos.

¿Por qué es distinto a los riesgos web habituales?

  • El agente IA tiene los mismos permisos del usuario, por lo que puede saltarse restricciones clásicas como SOP o CORS.
  • Las instrucciones hostiles pueden aparecer en cualquier sitio: foros, blogs, PDFs o redes sociales.
  • El ataque puede comprometer múltiples cuentas donde el usuario ya está autenticado, no solo el sitio actual.

Cómo mitigarlo según Brave

Brave propone varias soluciones urgentes:

  • Separar claramente órdenes del usuario y cualquier texto web.
  • Acciones sensibles siempre deben requerir confirmación explícita del usuario.
  • Las funciones avanzadas del agente IA deben estar aisladas de la navegación común.
  • El contenido web debe considerarse por defecto no confiable, y las acciones depender siempre del interés real del usuario.

Cronología del incidente

  • 25/07/2025: Descubrimiento y reporte de la vulnerabilidad.
  • 27/07/2025: Primer parche por parte de Perplexity (aún incompleto).
  • 11/08/2025: Aviso de publicación inminente.
  • 13/08/2025: Comprobación de la resolución parcial.
  • 20/08/2025: Publicación y nuevo aviso a Perplexity.

Los navegadores con agentes IA abren un futuro fascinante, pero requieren redoblar la vigilancia en seguridad. Protegerse exige que los agentes IA analicen y diferencien con rigor las órdenes reales del usuario, traten el contenido web como potencialmente peligroso y, ante la duda, limiten qué pueden hacer por sí solos. Solo así la privacidad y la confianza serán posibles en la web del futuro.

Artículo completo en inglés

Etiquetas:

Fecha:

A continuación:

Antes: