Календарная встреча взломала AI-браузер Perplexity и украла пароли из 1Password → Блог → 3000+ AI нейросетей на одном сайте

Исследователи из Zenity Labs продемонстрировали изящную атаку на AI-браузер Comet от Perplexity. Всё, что нужно злоумышленнику - отправить жертве приглашение на встречу в календаре. Пользователь просто просит Comet обработать встречу, а дальше атака разворачивается сама, без какого-либо участия человека.

Причём календарь - это просто пример. Та же техника работает через email, документы, сайты или загруженные файлы. Главное, чтобы Comet обработал содержимое как часть своей задачи.

Первый вариант атаки нацелен на локальные файлы. Инструкции, спрятанные в приглашении, заставляют Comet открывать папки, читать чувствительные файлы и отправлять их содержимое на внешний сервер через URL-параметры. Для браузера это выглядит как обычный запрос страницы.

Второй сценарий куда серьёзнее: Comet заходит в веб-версию 1Password (где пользователь уже авторизован), ищет сохранённые записи, извлекает пароли и отправляет их атакующему. В продвинутой версии агент меняет мастер-пароль аккаунта, достаёт email и Secret Key - полный захват учётной записи. Исследователи говорят, что их внимание привлекла интеграция 1Password в Comet, анонсированная в сентябре 2025 года.

Интересно, что здесь нет классической уязвимости в коде. Comet работает строго в рамках своих возможностей, используя авторизованный контекст браузера пользователя. Исследователи называют это "столкновением намерений" - агент не может надёжно отличить, чего хочет пользователь, а чего - атакующий, поэтому объединяет обе инструкции в один план действий.

С 1Password ситуация усугубляется тем, что расширение по умолчанию остаётся разблокированным до восьми часов и автоматически авторизует пользователя в веб-интерфейсе. Любой процесс в контексте браузера получает доступ к хранилищу паролей.

Исследователи разобрали внутреннюю архитектуру Comet и обнаружили, что агент использует структуру <system_reminder> для внутренних инструкций. Они встроили свои команды в том же формате прямо в календарное приглашение, что дало им приоритет.

Видимая часть приглашения выглядит совершенно безобидно - обычные детали встречи. А вот ниже, через множество пустых строк, спрятаны настоящие инструкции. Там же размещена фальшивая кнопка с Node ID, которую Comet воспринимает как легитимный элемент интерфейса.

Плюс исследователи намеренно смешали иврит, английский и нарративное оформление. Шаги представлены как история, где "Алиса просит помощи у своего ассистента". По словам исследователей, такая комбинация снижает вероятность того, что защитные механизмы распознают контент как вредоносный.

Zenity Labs сообщила об уязвимостях Perplexity и 1Password в октябре-ноябре 2025 года. Perplexity внедрила жёсткую блокировку доступа к file:// путям на уровне кода. Исследователи особо хвалят этот подход: Perplexity относится к собственному AI-браузеру как к ненадёжной сущности и ограничивает его возможности в исходном коде, а не полагается на решения языковой модели.

Правда, Zenity нашла обходной путь через view-source:file:///, что заставило Perplexity выпустить второй патч в феврале 2026. Пользователи также могут блокировать чувствительные домены в настройках Comet. 1Password добавила опции для отключения автоматического входа и требования подтверждения перед автозаполнением паролей.

Обе компании отреагировали конструктивно. Но если жёсткая блокировка файловой системы от Perplexity работает по умолчанию, то защиту от 1Password и блокировку доменов в Comet нужно настраивать вручную. Кто не поменял настройки - остаётся уязвим. MFA предотвратила бы полный захват аккаунта, но не кражу отдельных записей из хранилища.

Исследователи рекомендуют подход "нулевого доверия" к AI-браузерам: минимум доступа, максимум недоверия. Prompt injection - не решённая проблема, и по мере роста автономности AI-систем поверхность атаки только расширяется.