SquareX araştırmacıları, Perplexity tarafından üretilen AI destekli aracı tarayıcı Comet’te ciddi bir güvenlik sorunu bulunduğunu söylüyor: Comet’in MCP API’si, tarayıcının yerleşik (ancak kullanıcıdan gizlenmiş) uzantılarının doğrudan kullanıcının cihazına komutlar vermesine izin veriyor ve bu yetenek, saldırganlar tarafından kullanılabilir.
Comet, yerel sistemdeki uygulamaları çalıştırabilir, dosyaları okuyabilir ve verileri değiştirebilir. Araştırmacılar, “Eski tarz” tarayıcıların normalde bu düzeyde erişimi engellediğini, ancak (bazı) yapay zeka destekli tarayıcıların bu izolasyon katmanını etkili bir şekilde frenlediğini belirtti.
Sorun
SquareX, tarayıcının uzantı panelinde görünmeyen ve bu nedenle kullanıcılardan etkili bir şekilde gizlenen ve kullanıcılar tarafından devre dışı bırakılamayan iki yerleşik uzantı buldu: Comet Analytics ve Comet Agentic.
“Araştırmamızda bir MCP API’sine rastladık (chrome.perplexity.mcp.addStdioServer) izin verir [Comet Agentic] araştırmacılar, ana makinede rastgele komutlar yürütmek için “diye paylaştı.
“Şu anda her iki dahili hat da yalnızca şaşkınlık.ai MCP API’nin söz konusu alt alan adlarına erişimini sınırlayan alt alan adları. Ancak sınırlı resmi belgeler göz önüne alındığında, MCP API’nin nasıl kullanıldığı ve ayrıca bu ayrıcalığın diğer ‘güvenilir’ sitelere genişletilip genişletilmeyeceği ve ne zaman genişletileceği açık değil.”
Bir saldırganın erişim sağlaması durumunda şaşkınlık.ai alan adını veya uygun bir yerleşik uzantıyı (örneğin, bir XSS saldırısı veya MitM ağ saldırısı yoluyla) kurbanın cihazını kontrol etmek, kötü amaçlı yazılım yüklemek, veri sızdırmak, kullanıcının etkinliğini izlemek vb. için MCP API’yi kullanabilirler.
Saldırganların, uzantıları durdurma yoluyla Comet Analytics uygulamasını taklit ederek aynı yeteneğe ulaşabilecekleri söyleniyor.
Saldırgan, tarayıcının geliştirici konsolu aracılığıyla Analytics Uzantılarından birinin bildirim anahtarını elde edebilir ve bunu sahte kimliğe sahip kötü amaçlı bir uzantı oluşturmak için kullanabilir.
“Artık orijinal Analytics Uzantısının tüm ayrıcalıklarını devralan kötü amaçlı uzantı, şaşkınlık.ai sayfa. Enjekte edilen komut dosyası bu komutu Aracı Uzantısına iletir. Aracı Uzantı talimatı takip ediyor ve bir fidye yazılımını yürütmek için MCP API’sini çağırıyor,” olası bir eklentiyi açıkladılar.
Şaşkınlığın tepkisi
Araştırma ekibi, Perplexity’nin şu anda MCP API’yi kötüye kullandığına dair bir kanıt olmadığını, ancak özellikle uzantıları göremedikleri veya devre dışı bırakamadıkları için kullanıcıları riske atabileceğini söylüyor.
SquareX, keşiflerini 4 Kasım 2025’te Perplexity’ye bildirdiklerini ancak o zamandan beri herhangi bir geri bildirim almadıklarını söylüyor. Ancak rapor 19 Kasım’da yayınlandıktan sonra Perplexity, MCP API’sini devre dışı bırakan sessiz bir güncelleme yayınladı. Dolayısıyla bu saldırı yolu şimdilik kapalı.
API’nin devre dışı bırakılmasının tarayıcının işlevselliğini nasıl etkileyeceğini söylemek zor, ancak bu etkinin çok belirgin olduğunu tarayıcının kullanıcılarından duyacağımızdan eminiz.
SquareX Güvenlik Araştırması Başkanı Nishant Sharma, Help Net Security’ye şunları söyledi: “MCP API yalnızca yerel komutları yürütmek için kullanılıyor, dolayısıyla tarayıcı içindeki MCP API’yi kullanmayan diğer aracı iş akışları çalışmaya devam edecek. Yine, belge eksikliği nedeniyle, birkaç örnek kullanım durumu dışında MCP API’nin ne için tasarlandığından emin değiliz.”
Bu güncellemenin/yamanın henüz kamuya açıklanmadığını, dolayısıyla Perplexity’nin bir sonraki adımının ne olacağını bilmediklerini söylüyor. “Şirketin güvenlik topluluğunun sorumlu bir üyesi olduğuna ve artık bu güvenlik açığının farkında olduklarına göre, kullanıcılara açıklamadan API’yi sessizce yeniden etkinleştirmeyeceklerine inanmak istiyoruz.”
SquareX’in Perplexity’ye önerileri, yerel MCP’yi devre dışı bırakmaları, kullanıcıları bu özellik hakkında bilgilendirmeleri ve onlara bu özelliğin dışında kalma seçeneği sunmalarıydı.
Araştırmacılar, diğer AI tarayıcılarının da aracılık özelliklerini etkinleştirmek için gömülü uzantılara güvendiğini ancak şu ana kadar Comet’in içinde yalnızca MCP API’sini bulduklarını söylüyor.
Güvenlik sınırlarını zorlamak
Yapay zeka destekli tarayıcılar, kullanıcılar adına görevleri yerine getirebiliyor ve geleneksel tarayıcılara göre çoğu zaman sistemin daha derinlerine ulaşabiliyor. Bir yapay zeka asistanı tıklayabildiğinde, yazabildiğinde, programları başlatabildiğinde ve yerel dosyalarla etkileşimde bulunabildiğinde, eski sanal alan modeli kırılgan görünmeye başlıyor.
Yenilik yapma baskısı yeni yetenekler getirir, ancak aynı zamanda birçok kullanıcının beklemediği şekilde saldırı yüzeyini de artırır.
SquareX, “Endüstri şimdi sınırlar koymazsa, yapay zeka tarayıcılarının inovasyon bayrağı altında onlarca yıldır süren güvenlik ilkelerini atlayabileceği bir emsal oluşturuyoruz” dedi.
Help Net Security, yorum yapmak için Perplexity’ye ulaştı ve bir yanıt aldığımızda/aldığımızda bu makaleyi güncelleyeceğiz.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!