O navegador Comet AI permite prompt injection em qualquer site e pode esvaziar contas bancárias

 (twitter.com/zack_overflow)
1 pontos por GN⁺ 2025-08-25 | 1 comentários | Compartilhar no WhatsApp
  • Trata-se de uma questão de vulnerabilidade de segurança no navegador Comet AI
  • Um site malicioso pode provocar prompt injection indesejado por meio do agente de IA dentro do navegador
  • Se essa vulnerabilidade for explorada, pode haver vazamento de dados pessoais do usuário ou indução a ações críticas
  • Em casos graves, ações automatizadas podem causar prejuízos como transferências de fundos de contas bancárias
  • Cresce a necessidade de que usuários e desenvolvedores reconheçam essa nova ameaça de navegadores com IA e preparem medidas de resposta

Visão geral da ameaça de segurança do navegador Comet AI

  • O navegador Comet AI vem chamando atenção por se diferenciar ao usar um agente de IA integrado nas interações com páginas da web
  • Recentemente, foi apontado que, ao acessar um site projetado intencionalmente por hackers, esse agente de IA pode ser exposto a prompts maliciosos do próprio site e até executá-los
  • Por meio de ataques de prompt injection, aumenta o risco de danos graves, como vazamento de informações de conta, execução de comandos e até transações financeiras que o usuário não deseja
  • O problema é um novo tipo de vulnerabilidade que surge com a adição de interações com IA ao modelo tradicional de segurança dos navegadores

Mecanismo do prompt injection

  • Um site malicioso insere na página textos em forma de comandos especiais ou perguntas
  • O navegador com IA interpreta isso por engano como um "pedido legítimo do usuário" e executa automaticamente esses comandos
  • Com isso, podem ser acionadas ações automatizadas como, por exemplo, transferência bancária, cópia de informações sensíveis e login automático em outros sites
  • Como esse processo pode não ser visível para o usuário ou passar sem suspeitas, a dificuldade de detecção e defesa é alta
Publicidade

Impacto no setor e necessidade de resposta

  • Com a expansão dos navegadores com IA, novas ameaças como prompt injection estão emergindo como riscos reais
  • Desenvolvedores de serviços e usuários precisam de sistemas robustos de validação e controle ao utilizar recursos de automação baseados em IA
  • Empresas de navegadores com IA e de segurança reforçam a importância de desenvolver recursos de proteção como filtragem prévia, limitação da execução de comandos e sistemas de alerta
  • Em áreas de alto risco, como o setor financeiro, é necessário cautela no uso de navegadores com IA e inspeções de segurança rigorosas

Conclusão

  • O risco de prompt injection no navegador Comet AI é um novo desafio de segurança que cresce junto com a aceleração da adoção de tecnologias de IA
  • Todos os envolvidos precisam reconhecer concretamente essa ameaça e reforça-se a necessidade de estabelecer estratégias abrangentes de segurança, como validação antes de ativar funções e aplicação do princípio do menor privilégio

Leituras relacionadas

1 comentários

 
GN⁺ 2025-08-25
Comentários do Hacker News

  • Quero dizer que o fato de empresas como Google, OpenAI e Anthropic não lançarem a mesma funcionalidade e, em vez disso, usarem uma máquina virtual isolada sem cookies para navegar na web mostra o quanto isso é perigoso por natureza
    Acho que colocar um LLM dentro do navegador vendo até os dados entre abas é realmente a combinação máxima de fatores de risco
    Vi a postagem da Brave explicando essa vulnerabilidade (https://brave.com/blog/comet-prompt-injection/) e achei interessante que eles basicamente não chegaram à conclusão de que “isso é algo que simplesmente não se deve fazer”
    Em vez disso, a ideia é que dá para bloquear bem o suficiente com alinhamento do modelo, detecção de comportamento arriscado do usuário etc.
    O rebaixamento de privilégios do agente até apareceu como uma resposta razoável, mas mesmo assim acho que ainda seria fácil exfiltrar dados para uma URL de imagem controlada pelo atacante, tão facilmente quanto enviar um e-mail
    Discussão anterior relacionada: https://news.ycombinator.com/item?id=44847933

    • Eu acho que alinhamento de modelo e guardrails acabam sendo medidas preventivas estatísticas
      É difícil esperar que ações perigosas caiam para 0% absoluto no espaço de entrada
      Por melhor que o modelo fique, é praticamente impossível exigir que não exista nenhum caso em que um valor de entrada seja mapeado para “algo que jamais deveria acontecer”
      Mesmo empilhando várias camadas de modelo, no fundo você só está multiplicando probabilidades

    • (Sou o líder de privacidade da Brave e autor da postagem)
      Nós nunca afirmamos que alinhamento de modelo ou detecção de comportamento de risco, por si só, seriam suficientes
      Esses métodos são o mínimo que um fabricante de navegador deveria fazer de qualquer forma
      Ataques simples assim podem ser bloqueados com essas medidas, mas eu as vejo apenas como uma “condição necessária”, nunca uma “condição suficiente”

    • Ao ver que a equipe da Brave não chegou à conclusão de que “isso é simplesmente uma má ideia”, pensei no ditado de Upton Sinclair
      É realmente difícil entender um fato quando o seu salário depende de você não entendê-lo

    • No texto atual foi acrescentado o ponto de que “o navegador deve separar a navegação por agente da navegação normal”

    • Se você permitir autoaprovação para o Claude Code e deixá-lo navegar ativamente pela web, problemas parecidos podem muito bem acontecer por prompt injection
      Mesmo que não exista opção de autoaprovação para permissões de leitura/modificação de arquivos, a menos que ele rode dentro de um sandbox, o código gerado pode alterar arquivos do navegador na próxima vez em que você rodar testes unitários, por exemplo
      Se você não revisar cada mudança com muito cuidado, isso pode ser realmente perigoso

  • Na minha opinião, Agentic AI só deveria ser usada em ambientes onde seja fácil reverter as mudanças feitas pela IA
    Por exemplo, em build/update/debug de código dá para responder com segurança usando rollback de git e similares
    Mas usar Agentic AI em algo como navegação web, onde rollback é praticamente impossível, me parece difícil de acreditar

    • Mesmo quando dou regras e instruções claras ao Claude, às vezes ele ignora isso e age por conta própria
      (“Ignorou a regra de não fazer isso explicitamente e modificou o banco de dados direto!”)
      Por isso eu nem consigo imaginar executar um agente em ambiente de produção

    • Parece que só com git já daria para fazer rollback, mas na verdade o seguro é fazer rollback no nível de VM/contêiner
      Uma ferramenta de codificação com IA pode alterar arquivos/estruturas de configuração sem você perceber
      Por exemplo, se ela adicionar um script malicioso ao .profile via bash, o código do ataque pode executar no próximo login

    • Fico pensando se essa funcionalidade também não poderia apagar ou contaminar o repositório e todos os remotos para os quais ele pode dar push
      Se uma cadeia de automação com prompt injection consegue acessar recursos remotos, então, depois da invasão inicial, o ambiente inevitavelmente fica com todas as portas abertas por dentro
      Queria saber se estou pensando algo errado

    • Quando vejo a ideia de que “é seguro porque dá para reverter com git”, penso que talvez o John Connor pudesse salvar milhões só revertendo o código-fonte da Skynet
      Hm...

    • Desde o início, a própria permissão para atualizar/buildar/executar código já é poderosa demais
      No fim, isso só deveria rodar em um ambiente seguro, como uma VM

  • Passamos décadas endurecendo a segurança camada por camada da rede, e agora as pessoas estão basicamente oferecendo uma API em texto puro para todos os seus segredos e senhas
    E também acho irônico como tanta gente criticou a Microsoft por armazenar screenshots, mas fica em silêncio quando se trata desses agentes

    • Pelo menos isso aqui é um modelo de adesão voluntária, em que eu mesmo instalo o navegador
      No caso da Microsoft, eles estavam criando um banco de dados de screenshots que iria praticamente para todos os dispositivos Windows por padrão (e, pelo que lembro, no começo era opt-out), então é ainda mais perigoso

    • Também acho interessante como algumas pessoas entregam com facilidade a um “agente útil” dados que talvez nem contassem a um amigo
      Minha esposa pediu recentemente ao ChatGPT para organizar o cronograma dos remédios dela, e ele montou um plano perfeito levando em conta refeições, dieta, sono e interações entre cada medicamento
      Graças a isso, ela descobriu por que vinha tomando a medicação de forma errada
      Acho que isso tem a ver com o tom amigável desses agentes, mas no mundo real esse tipo de vazamento de informação é um problema sério, e mesmo assim muita gente entrega seus dados sem pensar

    • Comparar esta questão com a polêmica dos screenshots da Microsoft pode acabar desfocando a natureza essencial do problema

  • Quando um LLM lê dados por meio de alguma ferramenta, isso no fim é um ato de escrita: aquele conteúdo fica registrado na janela de contexto do LLM
    Se o escopo da ferramenta permite uma fonte arbitrária não confiável, naquele momento você está, na prática, concedendo permissão de escrita ao lado de fora
    Só isso já cria possibilidade suficiente de vazamento de dados
    E se, além disso, surgirem permissões reais de escrita em outros sistemas ou efeitos colaterais, o risco cresce exponencialmente

  • Parece comédia, mas é amargo perceber que este é exatamente o estado atual do setor de TI e da febre de LLMs

  • Suponho que o Comet provavelmente não tenha nenhuma proteção além de algumas instruções ligeiramente ajustadas
    Uma coisa que percebi recentemente na USENIX Security é que ninguém sabe realmente como lidar direito com prompt injection multi-turn/agentic

    • Talvez a abordagem tenha de ser tratar o próprio prompt como uma string SQL, exigindo que toda entrada dinâmica de usuário vinda de fora seja sempre sanitizada

  • As mudanças trazidas pela IA são muito interessantes, e ver novas tentativas surgindo o tempo todo me deixa animado

  • Quero admitir honestamente que estou confuso
    Ainda estou me acostumando, com dificuldade, até com o internet banking comum, e já tendo a recusar instalar apps de toda empresa
    Então é muito difícil para mim imaginar colocar um ser não determinístico (LLM) no computador e ainda confiar a ele tarefas financeiras
    Hoje em dia já existe até LLM comprando coisas ou fazendo pagamentos por você, e embora eu entenda isso logicamente, na prática me parece quase uma loucura
    Não porque seja perigoso confiar finanças a um sistema para leigos ou que responde a prompts aleatórios, mas porque, do ponto de vista do cliente, isso significa abrir mão de uma quantidade enorme de autonomia e autoridade, e eu me pergunto qual é exatamente o resultado disso
    Eu também gosto de LLMs, e navegadores com LLM certamente devem ter casos de uso úteis
    Só não acho que seja algo para o público em geral
    Talvez até valha considerar um método que obrigue a pessoa a passar por um processo de compilação para entender diretamente o que está adotando

    • Sim, é normal ficar confuso
      A situação aqui não é a IA fazendo pagamentos diretamente com dados bancários por conta própria, mas sim casos em que a pessoa publica abertamente para a IA informações da conta bancária etc.
      Isso é diferente de dizer que a IA está executando as operações financeiras em si

  • Fico curioso para saber se as empresas de IA realmente estariam dispostas a assumir responsabilidade fiduciária no futuro

  • Usei o agente do Comet por 5 minutos
    Dei uma instrução simples: “compre um violão na Amazon” (sem especificar tipo de violão, orçamento, marca etc.) e, no fim, ele colocou no meu carrinho 3 violões acústicos baratos de marcas que eu nem conhecia
    Felizmente não chegou à etapa de pagamento
    Para mim, a avaliação termina aí: concluí que isso não tem muito valor

    • Eu já tinha ouvido dizer que IA é ruim para contar números, mas não sabia que ela era tão ruim assim a partir do número 2