Brave découvre comment hacker vos codes d'accès temporaires via le navigateur IA Comet

Brave a mis en évidence une faille critique dans le navigateur IA Comet de Perplexity, capable de détourner l’assistant pour exfiltrer des codes d’accès temporaires et des données sensibles en quelques clics. L’épisode relance le débat sur la sécurité des navigateurs dits « agents » et la maturité de leurs garde-fous.

Dévoilée fin août, la démonstration de Brave repose sur une injection de prompt indirecte, dissimulée dans du contenu Web anodin, qui pousse Comet à exécuter des instructions malveillantes lors d’un simple « résume cette page ». Perplexity affirme avoir corrigé la vulnérabilité, tandis que des audits indépendants soulignent l’ampleur des risques lorsqu’un agent agit avec les privilèges du navigateur. L’affaire touche un produit positionné haut de gamme, puisque Comet est lié à l’offre Max à 200 dollars par mois, déjà au cœur des discussions sur le modèle économique des navigateurs IA.

Comment l’attaque opère

Le cœur du problème vient de la confusion entre instructions de l’utilisateur et contenu non fiable de la page : en répondant à « résume », l’agent de Comet ingère aussi des commandes cachées (texte invisible, commentaires HTML, balises spoiler) et les traite comme des requêtes légitimes. Dans ce contexte, l’assistant agit avec les pleins pouvoirs du navigateur connecté, pouvant accéder à des e-mails, à des comptes en ligne et à des codes de connexion à usage unique (OTP), sans séparation stricte entre contexte de navigation et ordres autorisés.

Brave illustre un scénario où une instruction enfouie dans un post Reddit déclenche l’ouverture de la boîte mail pour récupérer un OTP, étape suffisante pour prendre le contrôle d’un compte lié. D’autres essais menés par des tiers montrent que l’agent peut parcourir un faux site d’e-commerce et tenter d’utiliser des informations enregistrées pour finaliser un achat, révélant le risque d’actions automatiques sur des pages piégées.

Réactions et garde-fous

Perplexity indique avoir collaboré avec les chercheurs et déployé un correctif, tout en martelant que la sécurité et la conformité sont au cœur de Comet. En parallèle, les audits soulignent que des garde-fous concrets restent indispensables : confirmation explicite des actions sensibles, cloisonnement fort entre l’agent et le rendu des pages, et filtrage des instructions issues de contenus non fiables.

Dans ses recommandations, Brave plaide pour un modèle d’exécution qui isole l’agent du Web non fiable et exige des validations humaines avant tout accès à des ressources privées, une approche que d’autres acteurs de l’IA appliquent déjà partiellement. L’enjeu n’est pas théorique : lorsqu’un agent agit « au nom de l’utilisateur », l’hygiène de sécurité doit dépasser les paradigmes du navigateur traditionnel pour neutraliser des commandes en langage naturel dissimulées.

Un test pour les navigateurs IA

Au-delà de Comet, l’épisode questionne l’équilibre entre promesse d’automatisation et surface d’attaque accrue des navigateurs agentiques. Il intervient alors que la filière pousse vers des offres premium, entre l’accès lié à Perplexity Max pour Comet et la montée d’un modèle payant illustré par Dia, préfigurant un Web « assisté » monétisé.

Ce positionnement haut de gamme accroît les attentes en matière de sécurité, surtout quand l’agent peut lire des onglets, manipuler des sessions et orchestrer des actions transverses. La feuille de route s’esquisse déjà : confirmations systématiques pour les opérations sensibles, séparation nette des contextes, et politiques de filtrage qui traitent toute page comme potentiellement hostile par défaut.

Source : Windows Central