Pesquisadores do Brave demonstram ataque do tipo “indirect prompt injection” no navegador Comet da Perplexity

A técnica explora sites aparentemente inofensivos que inserem instruções ocultas no conteúdo, levando o modelo de IA a executar ações maliciosas.

Segundo a equipe, a falha está no modo como o Comet processa páginas da web. Ao solicitar o resumo de um site, o sistema envia trechos do conteúdo diretamente para o LLM, sem diferenciar instruções legítimas do usuário de comandos embutidos de forma maliciosa.

Isso permite que atacantes introduzam cargas de injeção indireta de prompt que a IA interpreta como ordens. Essas instruções podem ser disfarçadas em elementos invisíveis, como texto branco sobre fundo branco ou comentários em HTML, além de poderem ser incluídas em conteúdos gerados por usuários em redes sociais.

Com isso, um invasor poderia, por exemplo, acessar e-mails, contas bancárias, sistemas corporativos ou enviar informações sensíveis para servidores externos, já que a IA atua com os mesmos privilégios do usuário em sessões autenticadas.

De acordo com os pesquisadores, a Perplexity já aplicou uma correção parcial para a vulnerabilidade.