Pesquisa mostrou que páginas fraudulentas podem ser ajustadas iterativamente até que o navegador agentivo da Perplexity deixe de bloquear sinais suspeitos e prossiga com ações sensíveis em nome do usuário.
| Componente | Navegador agentivo Perplexity Comet e, por extensão, navegadores de IA que executam ações em sites em nome do usuário. |
| Vetor | O operador observa a forma como o agente descreve riscos e decisões, usa esse retorno como sinal de treinamento e regenera uma página de phishing até reduzir os alertas do modelo. |
| Impacto | Em cenário de pesquisa, o agente foi induzido em menos de quatro minutos a avançar em um golpe de phishing, com risco de submissão de credenciais em página falsa de reembolso. |
| Prioridade | Tratar navegadores agentivos como superfície de execução não confiável, limitar ações autônomas em páginas externas e revisar fluxos que envolvam credenciais, e-mail, arquivos locais ou extensões sensíveis. |
| Artefatos | A técnica explora o comportamento de raciocínio exposto pelo agente, descrito como vazamento de sinais sobre o que ele considera suspeito, seguro ou como próximo passo. |
| Mitigação | Reduzir exposição de raciocínio operacional, aplicar descoberta automatizada de ataques, treinamento adversarial e salvaguardas de sistema para separar instruções do usuário de conteúdo web não confiável. |
Pesquisadores demonstraram que navegadores agentivos com recursos de IA podem ser manipulados por páginas de phishing ajustadas especificamente contra o comportamento do próprio agente. O caso envolve o Comet, navegador de IA da Perplexity, em um cenário no qual o alvo central deixa de ser apenas o usuário humano e passa a ser o componente que interpreta a página, avalia riscos e executa ações em nome desse usuário. A técnica se apoia no fato de que o agente opera em tempo real dentro de páginas dinâmicas, solicita informações continuamente, toma decisões e descreve parte do que percebe, do que pretende fazer e dos sinais que considera relevantes para classificar uma página como suspeita ou aceitável.
O ponto técnico mais importante é que esse comportamento descritivo cria um canal de feedback para o adversário. Ao observar as hesitações, os alertas e a lógica de decisão do navegador de IA, um operador pode adaptar a página fraudulenta até que o agente pare de resistir ao fluxo. Na demonstração relatada, o tráfego entre o navegador e os serviços de IA executados em servidores do fornecedor foi usado como entrada para uma rede adversarial generativa. O resultado foi uma página de phishing que, em menos de quatro minutos, levou o Comet a avançar em um golpe projetado para uma falsa solicitação de reembolso.
Essa classe de ataque altera a premissa tradicional de defesa contra phishing. Em páginas convencionais, o golpe precisa convencer a pessoa a ignorar sinais visuais, domínio suspeito, inconsistências textuais ou fluxos incomuns. Em um navegador agentivo, a fraude pode ser treinada offline contra o modelo que milhões de usuários utilizam, até que o primeiro contato já seja suficiente para o agente executar a ação indesejada. O risco não depende apenas da aparência da página para humanos, mas da forma como o agente combina instruções, conteúdo da página, políticas internas e tarefas solicitadas pelo usuário.
O fluxo começa com uma página maliciosa ou fraudulenta controlada pelo operador. O agente acessa essa página no contexto de uma tarefa aparentemente legítima, como lidar com uma solicitação de reembolso. Enquanto interpreta o conteúdo, o navegador de IA expõe sinais sobre sua avaliação: elementos que considera suspeitos, fatores que parecem reduzir o risco, próximos passos planejados e pontos de hesitação. Esses sinais não precisam revelar o prompt interno completo para serem úteis; basta que mostrem ao adversário quais características da página bloqueiam ou liberam a execução.
Com esse retorno, a página é regenerada de forma iterativa. A pesquisa descreve o uso de uma rede adversarial generativa para otimizar a isca até que o agente deixe de reclamar, hesitar ou interromper a sequência. Em termos defensivos, isso significa que a página de phishing passa por uma fase de treinamento contra o modelo antes de ser apresentada a usuários reais. O conteúdo hostil é ajustado para não parecer hostil ao agente, mesmo que mantenha a finalidade de coletar credenciais ou conduzir uma ação indevida.
A técnica se conecta a pesquisas anteriores sobre VibeScamming e Scamlexity, nas quais plataformas de criação assistida por IA e navegadores agentivos foram induzidos a gerar páginas fraudulentas ou executar ações maliciosas por meio de injeções de prompt ocultas. A diferença prática está na maturidade do ciclo de ataque: a fraude não é apenas escrita uma vez e testada em vítimas humanas, mas treinada contra os critérios observáveis do navegador. Quando o agente explica por que parou, por que aceitou algo ou que sinal julgou seguro, ele fornece material para o refinamento da próxima versão da página.
O mesmo contexto também menciona pesquisas relacionadas contra o Comet que abusaram de injeção indireta de prompt para acessar informações privadas de serviços como Gmail quando o usuário pedia resumo de uma página controlada pelo atacante. Outro conjunto de testes descreveu ataques sem clique baseados em convites de reunião, com instruções maliciosas embutidas em dados não confiáveis, para exfiltrar arquivos locais a um servidor externo ou tentar sequestrar uma conta de 1Password quando a extensão estivesse instalada e desbloqueada. Esses casos não são o mesmo fluxo da página de phishing treinada, mas reforçam o mesmo problema estrutural: o agente mistura intenção legítima do usuário com instruções presentes em conteúdo externo.
A superfície principal é formada por navegadores de IA capazes de navegar, interpretar páginas, preencher campos, resumir conteúdo e executar ações com baixa supervisão humana. Quanto mais permissões o agente recebe, maior o impacto potencial de uma página controlada por terceiros. O risco cresce quando o navegador pode acessar sessões autenticadas, gerenciadores de senha, caixas de e-mail, arquivos locais ou extensões sensíveis enquanto processa conteúdo web não confiável.
No caso descrito, o Comet é o produto diretamente citado. A superfície, porém, não se limita a um único fornecedor quando o padrão arquitetural é semelhante: um agente recebe uma intenção do usuário, visita páginas externas, incorpora instruções dessas páginas ao plano de execução e decide ações com base em raciocínio próprio. A pesquisa chama atenção para uma colisão de intenção, na qual a solicitação benigna do usuário e as instruções controladas pelo atacante são fundidas em um mesmo plano sem separação confiável.
Equipes de segurança devem avaliar o navegador agentivo como uma camada de automação com acesso a contexto privilegiado, não apenas como uma interface de consulta. Se o usuário está autenticado em serviços corporativos, se a extensão de senhas está desbloqueada ou se o agente tem permissão para interagir com formulários, a página visitada pode influenciar decisões que antes exigiriam clique consciente e leitura humana. Isso muda a modelagem de ameaça de phishing, porque controles centrados apenas em treinamento do usuário não cobrem o comportamento autônomo do agente.
- Produto citado diretamente: Perplexity Comet, navegador com agente de IA para ações em múltiplos sites.
- Classe afetada: navegadores agentivos que processam páginas externas e executam tarefas em nome do usuário.
- Condição de risco: agente com permissão para interagir com páginas, formulários, sessões autenticadas, e-mail, arquivos locais ou extensões sensíveis.
- Técnica relacionada: injeção indireta de prompt e colisão entre intenção do usuário e instrução controlada por conteúdo web.
A detecção deve focar menos em uma assinatura única e mais no comportamento de navegação assistida por agente. Em ambientes corporativos, logs de proxy, DNS, gateway web e EDR podem revelar sequências incomuns em que o navegador visita páginas recém-criadas, interage rapidamente com formulários e transmite dados após uma tarefa de resumo, reembolso, suporte ou validação de conta. O tempo curto observado na demonstração reforça que janelas de detecção precisam considerar automação rápida, não apenas sessões humanas prolongadas.
Também é relevante monitorar eventos em que um navegador de IA acessa serviços autenticados e, logo em seguida, faz requisições a domínios externos não relacionados ao serviço original. Nos cenários relacionados com e-mail, arquivos locais e extensão de senha, a telemetria útil inclui acessos anômalos a Gmail, leituras ou uploads inesperados de arquivos, solicitações de extensão sensível em páginas não usuais e comunicações de saída para infraestrutura sem reputação consolidada. Indicadores específicos não foram fornecidos no contexto, portanto a defesa deve trabalhar com classes de comportamento e correlação entre origem, tarefa e destino.
Do ponto de vista de AppSec e engenharia de produto, os registros internos do agente também são fonte crítica. Eventos de decisão em que o modelo alterna de bloqueio para permissão após pequenas mudanças de conteúdo, ou em que o plano de execução combina instruções do usuário com instruções extraídas da página, devem ser tratados como sinais de risco. O objetivo defensivo não é publicar o raciocínio integral do modelo, mas registrar evidências suficientes para auditoria, reprodução controlada e melhoria de salvaguardas sem entregar ao atacante uma explicação operacional de como contornar o bloqueio.
- Sequências rápidas de acesso a página externa, preenchimento de formulário e envio de dados por navegador agentivo.
- Interação do agente com páginas de reembolso, suporte, autenticação ou recuperação de conta fora de fluxos corporativos esperados.
- Requisições de saída para domínios externos após tarefas de resumo ou navegação em página controlada por terceiros.
- Uso de sessões autenticadas, e-mail, arquivos locais ou extensões de senha durante navegação assistida por IA.
- Mudanças repetidas em páginas externas que levam o agente a reduzir alertas ou prosseguir após hesitação anterior.
A resposta deve começar pela limitação de permissões. Navegadores agentivos não devem receber acesso amplo a credenciais, e-mail, arquivos locais e extensões de senha sem controles adicionais. Para ambientes corporativos, a adoção precisa incluir política explícita sobre quais dados podem ser processados, quais sites podem receber automação e quais ações exigem confirmação humana. Tarefas envolvendo credenciais, reembolso, transferência, alteração de conta ou acesso a dados privados devem ser tratadas como sensíveis e não delegadas integralmente ao agente em páginas externas.
A mitigação técnica passa por separar de forma mais rígida a intenção do usuário de instruções presentes em conteúdo web não confiável. Páginas externas devem ser consideradas entrada hostil, inclusive quando aparentam conter texto administrativo, convite de reunião, instrução de suporte ou aviso de segurança. Salvaguardas precisam impedir que esse conteúdo modifique o objetivo original, amplie permissões ou direcione o agente a transferir dados para destinos arbitrários. A pesquisa citada também aponta redução de risco por descoberta automatizada de ataques, treinamento adversarial e proteções em nível de sistema.
Para equipes de defesa, a prioridade prática é revisar onde navegadores de IA já estão em uso, bloquear fluxos de alto risco e criar telemetria específica para navegação agentiva. Em paralelo, fornecedores devem reduzir a exposição de sinais de raciocínio que ajudem adversários a adaptar páginas fraudulentas. Transparência para auditoria é importante, mas a saída operacional do agente não deve funcionar como guia de otimização para fraude. Como a eliminação completa de injeções de prompt em navegadores agentivos pode não ser viável, a estratégia realista é combinar contenção por permissão, isolamento de contexto, confirmação humana e testes adversariais contínuos.
- Restringir o uso de navegadores agentivos em fluxos de autenticação, reembolso, suporte financeiro e recuperação de conta.
- Exigir confirmação humana para submissão de credenciais, envio de formulários sensíveis e acesso a dados privados.
- Isolar sessões corporativas, extensões de senha e arquivos locais de páginas externas processadas por agentes de IA.
- Monitorar navegação automatizada com correlação entre tarefa do usuário, página visitada, dados acessados e destino de rede.
- Testar aplicações internas e políticas de navegador contra injeção indireta de prompt e colisão de intenção antes de liberar automação ampla.
0 Comentários