Nghiên cứu đột phá từ SquareX đã phát hiện một API tiềm ẩn trong trình duyệt AI Comet của Perplexity, cho phép các tiện ích mở rộng nhúng thực thi lệnh cục bộ và giành toàn quyền kiểm soát thiết bị của người dùng. Phát hiện này làm nổi bật một **lỗ hổng zero-day** nghiêm trọng, đi ngược lại các nguyên tắc bảo mật trình duyệt truyền thống và đặt ra mối lo ngại lớn về an toàn thông tin.

Phát hiện API Tiềm ẩn: chrome.perplexity.mcp.addStdioServer

Các nhà nghiên cứu tại SquareX đã tiết lộ rằng trình duyệt Comet đã triển khai API **chrome.perplexity.mcp.addStdioServer** (gọi tắt là MCP API).

API này cấp phép cho các tiện ích mở rộng được nhúng khả năng thực thi các lệnh cục bộ tùy ý trên thiết bị người dùng. Đây là một năng lực mà các trình duyệt truyền thống đã và đang cấm một cách rõ ràng.

Cơ chế hoạt động của MCP API

MCP API cung cấp quyền truy cập liên tục cho các tiện ích mở rộng nhúng của Comet. Các tiện ích này có thể khởi chạy ứng dụng cục bộ một cách tùy tiện mà không cần sự cho phép của người dùng.

Điều này tạo ra một lỗ hổng đáng kể trong niềm tin và tính minh bạch đối với người dùng. Hiện tại, tài liệu chính thức về MCP API còn rất hạn chế, chỉ mô tả mục đích của tính năng mà không công bố chi tiết về quyền truy cập này.

Bỏ qua các biện pháp bảo mật truyền thống

Trong nhiều thập kỷ, các nhà cung cấp trình duyệt đã tuân thủ các kiểm soát bảo mật nghiêm ngặt. Những kiểm soát này ngăn trình duyệt, đặc biệt là các tiện ích mở rộng, trực tiếp điều khiển thiết bị cơ bản.

Kabilan Sakthivel, nhà nghiên cứu tại SquareX, giải thích rằng các trình duyệt truyền thống yêu cầu API nhắn tin gốc với các mục đăng ký rõ ràng và sự đồng ý của người dùng cho bất kỳ quyền truy cập hệ thống cục bộ nào. Comet đã bỏ qua tất cả các biện pháp bảo vệ này bằng một API ẩn.

Ông nhấn mạnh: “Sự xói mòn niềm tin của người dùng này về cơ bản đã đảo ngược hàng thập kỷ các nguyên tắc bảo mật trình duyệt được thiết lập bởi các nhà cung cấp như Chrome, Safari và Firefox”.

Phương thức Khai thác và Nguy cơ **Chiếm quyền điều khiển** Hệ thống

API này hiện được tìm thấy trong tiện ích mở rộng **Agentic** và có thể được kích hoạt bởi trang **perplexity.ai**. Điều này tạo ra một kênh bí mật để Comet truy cập dữ liệu cục bộ và khởi chạy các lệnh/ứng dụng tùy ý mà không có bất kỳ sự kiểm soát nào từ người dùng.

Kịch bản tấn công thực tế

Trong bản trình diễn tấn công của SquareX, nhóm nghiên cứu đã sử dụng kỹ thuật **extension stomping** để ngụy trang một tiện ích mở rộng độc hại. Họ đã giả mạo ID của tiện ích mở rộng **Analytics Extension** được nhúng.

Sau khi được sideload, tiện ích mở rộng Analytics độc hại này sẽ inject một script vào trang **perplexity.ai**. Script này lần lượt gọi tiện ích mở rộng Agentic, và cuối cùng sử dụng MCP để thực thi mã độc **WannaCry** trên thiết bị của nạn nhân.

Ngoài **extension stomping**, các kỹ thuật khác như tấn công **XSS** (Cross-Site Scripting) hoặc tấn công mạng **MitM** (Man-in-the-Middle) nhắm vào trang **perplexity.ai** hoặc các tiện ích mở rộng nhúng cũng có thể dẫn đến kết quả tương tự.

Xem thêm chi tiết kỹ thuật tại blog kỹ thuật của SquareX.

Nguy cơ từ các Extension bị ẩn

Một điều đáng lo ngại là cả hai tiện ích mở rộng **Agentic** và **Analytics** đều quan trọng đối với chức năng đặc trưng của Comet. Perplexity đã ẩn chúng khỏi bảng điều khiển tiện ích mở rộng của Comet.

Điều này ngăn cản người dùng vô hiệu hóa chúng ngay cả khi chúng bị xâm phạm. Các tiện ích mở rộng nhúng này trở thành một “IT ẩn” mà cả đội ngũ bảo mật lẫn người dùng đều không có khả năng hiển thị.

Hơn nữa, do thiếu tài liệu, không có cách nào để biết liệu hoặc khi nào Comet có thể mở rộng quyền truy cập này sang các trang web “đáng tin cậy” khác. Đây là một **lỗ hổng zero-day** mang tính thiết kế có thể gây hậu quả nghiêm trọng.

Đánh giá **rủi ro bảo mật** và Tác động

Mặc dù hiện tại không có bằng chứng Perplexity đang lạm dụng MCP API, nhưng câu hỏi đặt ra là khi nào Perplexity sẽ bị xâm phạm, chứ không phải liệu có bị xâm phạm hay không.

Một **lỗ hổng XSS** đơn lẻ, một cuộc tấn công lừa đảo thành công nhắm vào nhân viên Perplexity, hoặc một mối đe dọa nội bộ sẽ ngay lập tức cấp cho kẻ tấn công quyền kiểm soát chưa từng có. Quyền kiểm soát này sẽ thông qua trình duyệt, trên mọi thiết bị của người dùng Comet.

Điều này tạo ra một **rủi ro bên thứ ba** thảm khốc, nơi người dùng đã từ bỏ bảo mật thiết bị của mình cho tư thế bảo mật của Perplexity, mà không có cách dễ dàng để đánh giá hoặc giảm thiểu rủi ro.

Hậu quả và Lời kêu gọi hành động

Trong cuộc đua giành chiến thắng trong cuộc chiến trình duyệt tiếp theo, nhiều công ty trình duyệt AI đang tung ra các tính năng quá nhanh. Điều này phải trả giá bằng việc thiếu tài liệu đầy đủ và các biện pháp bảo mật thích hợp.

Các khai thác MCP API này đóng vai trò như một cảnh báo sớm về các **rủi ro bảo mật** bên thứ ba. Việc triển khai kém của các trình duyệt AI có thể khiến người dùng gặp phải những nguy hiểm tiềm tàng, chẳng hạn như nguy cơ xuất hiện một **lỗ hổng zero-day** không lường trước.

Tầm quan trọng của minh bạch và kiểm toán bảo mật

Vivek Ramachandran, Người sáng lập SquareX, nhấn mạnh: “Việc triển khai sớm các API kiểm soát thiết bị trong các trình duyệt AI là cực kỳ nguy hiểm. Chúng ta đang thấy các nhà cung cấp trình duyệt tự cấp cho mình, và có khả năng là các bên thứ ba, loại quyền truy cập cấp hệ thống. Điều này trong bất kỳ trình duyệt truyền thống nào đều yêu cầu sự đồng ý rõ ràng của người dùng và đánh giá bảo mật.”

Ông nói thêm: “Người dùng xứng đáng được biết khi phần mềm có mức độ kiểm soát này đối với thiết bị của họ.”

Nếu ngành công nghiệp không thiết lập ranh giới ngay bây giờ, chúng ta đang tạo ra một tiền lệ nơi các trình duyệt AI có thể bỏ qua hàng thập kỷ các nguyên tắc bảo mật. Việc này có thể xảy ra dưới danh nghĩa của sự đổi mới, biến các tính năng thành **lỗ hổng zero-day** tiềm ẩn.

SquareX kêu gọi các nhà cung cấp trình duyệt AI bắt buộc công bố tất cả các API, trải qua các cuộc kiểm toán bảo mật của bên thứ ba, và cung cấp cho người dùng các quyền kiểm soát để vô hiệu hóa các tiện ích mở rộng nhúng. Đây không chỉ là về một API trong một trình duyệt mà là về việc thiết lập một tiêu chuẩn bảo mật cho tương lai của các trình duyệt AI.