Tu asistente de IA se pasa de proactivo: mira cómo Comet robó datos a sus propietarios sin que lo notaran
Los métodos de protección habituales resultan totalmente inútiles ante esta astuta artimaña.
Expertos mostraron cómo el navegador agente Comet de la empresa Perplexity permitía acceder a archivos locales del usuario y transmitir el contenido a un servidor externo sin que se notara. El ataque no requería clics ni acciones adicionales por parte de la víctima: bastaba con una invitación ordinaria a una reunión en el calendario.
El equipo de Zenity Labs describió el escenario, denominado PerplexedComet. La investigación mostró que los navegadores autónomos con IA integrada son capaces de realizar acciones en nombre del usuario e interpretar tareas, combinando la solicitud del usuario con el contenido de páginas web. En ese modo, los datos externos se convierten efectivamente en instrucciones para el sistema. Bajo determinadas condiciones, esa lógica permitió al atacante hacer que el navegador realizara acciones que el usuario no había previsto.
En la demostración del ataque se utilizó una invitación a una reunión en el calendario. A simple vista la invitación parecía normal: título, descripción de la reunión y participantes. Sin embargo, en la descripción se ocultaron instrucciones adicionales. Cuando el usuario pedía a Comet que aceptara la invitación, el navegador analizaba el contenido del evento y ejecutaba los pasos siguientes de forma automática.
A través de la llamada inyección indirecta de indicaciones, el atacante dirigía las acciones del agente. El navegador visitaba un sitio externo donde se alojaban instrucciones adicionales. Luego Comet abría el sistema de archivos local mediante la ruta file://, exploraba los directorios, localizaba el archivo indicado y leía su contenido.
Tras leer el archivo, el navegador accedía a una dirección externa perteneciente al atacante y enviaba los datos como parámetro en la URL. Desde la perspectiva del navegador, esa operación se veía como una carga de página habitual. En algunos escenarios la advertencia aparecía ya después del envío de datos, y en otros casos no se mostraba en absoluto.
El ataque no explotaba una vulnerabilidad clásica de código. Comet actuaba dentro de sus propias capacidades: analizaba el contenido, elaboraba un plan para ejecutar la tarea y realizaba los pasos en nombre del usuario. El problema surgía porque el sistema mezclaba las intenciones del usuario con las instrucciones procedentes de contenido externo.
Los autores del informe notificaron el problema a los desarrolladores de Perplexity el 22 de octubre de 2025. La empresa reconoció la vulnerabilidad como crítica e implementó una corrección. En el código del navegador introdujeron una restricción estricta: se prohibió al agente navegar automáticamente a direcciones file:// y acceder al sistema de archivos local. Además, reforzaron los requisitos de confirmación para acciones sensibles.
La verificación, completada en febrero de 2026, confirmó la eficacia de los cambios. El escenario de ataque presentado ya no funciona. Según los autores del estudio, la aparición de navegadores agentes cambia el modelo de amenazas: los sistemas de IA no solo leen contenido web, sino que también ejecutan acciones, por lo que cualquier contenido externo puede influir en su comportamiento y desencadenar procesos inesperados.