Brave cảnh báo lỗ hổng nghiêm trọng trong trình duyệt AI Comet của Perplexity

Trong khi nhiều công ty AI đang tung ra các trình duyệt “agentic” – tức là có thể tự động thực hiện tác vụ thay người dùng – thì vấn đề bảo mật lại đang trở thành mối lo lớn. Mới đây, nhóm bảo mật của Brave đã tiết lộ một lỗ hổng prompt injection gián tiếp nghiêm trọng trong trình duyệt AI Comet của Perplexity. Với lỗ hổng này, kẻ tấn công có thể dễ dàng đánh lừa AI Agent để lấy cắp thông tin nhạy cảm.

Theo Brave, vấn đề nằm ở cách Comet AI xử lý lệnh tóm tắt trang web. Khi người dùng yêu cầu AI Assistant tóm tắt, hệ thống không tách biệt rõ ràng chỉ thị của người dùng với nội dung trang web. Nếu trang web chứa prompt độc hại, cả hai sẽ bị gửi chung đến mô hình AI. Điều này cho phép kẻ xấu chiếm quyền điều khiển AI assistant và buộc nó thực hiện các hành động nguy hiểm.

Để chứng minh, các nhà nghiên cứu Brave đã tạo tình huống thử nghiệm: một bình luận độc hại trên Reddit có thể đánh lừa Comet. Thay vì chỉ tóm tắt nội dung, AI lại làm theo lệnh ẩn, truy cập Gmail, lấy mã OTP và tiết lộ ngay trong phần bình luận.

Nguy hiểm hơn, vì AI agent có quyền truy cập toàn bộ dữ liệu trong trình duyệt – từ email cho tới tài khoản ngân hàng – chỉ cần một đoạn prompt độc hại ẩn trong trang web là đủ để khai thác.

Nhóm Brave cho biết:

Cuộc tấn công này đặt ra thách thức lớn đối với các cơ chế bảo mật web hiện tại. Khi AI tuân theo lệnh ẩn trong nội dung không đáng tin cậy, những biện pháp truyền thống như SOP hay CORS gần như vô hiệu.

Các trang web độc hại thậm chí có thể giấu prompt trong chữ trắng trên nền trắng – vô hình với mắt thường nhưng lại bị AI “đọc” và làm theo. Đây cũng là lý do OpenAI triển khai ChatGPT Agent trong môi trường đám mây tách biệt, thay vì cho chạy trực tiếp trên trình duyệt cá nhân.

Tương tự, Google cũng chọn hướng an toàn hơn: tích hợp AI agent Project Mariner vào các sản phẩm, chứ không nhúng thẳng vào Chrome. Điều này cho thấy nguy cơ prompt injection vẫn là một trong những thách thức lớn nhất của lĩnh vực bảo mật AI hiện nay.

Theo Brave, lỗ hổng đã được báo cho Perplexity từ tháng 7/2025 và Comet được vá trong vài ngày. Tuy nhiên, khi kiểm tra lại, nhóm phát hiện bản vá chưa hoàn thiện. Nói cách khác, nguy cơ prompt injection trên Comet AI vẫn chưa được xử lý triệt để.