MCP API ใน Comet Browser สั่นคลอนความเชื่อมั่น
นักวิจัยจาก SquareX พบว่า Comet Browser มีการฝัง MCP API (chrome.perplexity.mcp.addStdioServer) ที่เปิดโอกาสให้ส่วนขยายฝังตัวสามารถรันคำสั่งบนเครื่องผู้ใช้ได้โดยตรง โดยไม่ต้องขออนุญาตหรือยืนยันจากผู้ใช้ ซึ่งต่างจากเบราว์เซอร์ทั่วไปที่ต้องใช้ Native Messaging API และการอนุญาตจากผู้ใช้เสมอ
ความเสี่ยงที่เกิดขึ้น
แม้ยังไม่มีหลักฐานว่า Perplexity.ai ใช้ API นี้ในทางที่ผิด แต่หากเกิดการโจมตี เช่น XSS, Phishing หรือ Insider Threat ก็สามารถทำให้ผู้โจมตีเข้าควบคุมเครื่องผู้ใช้ได้ทันที SquareX สาธิตการโจมตีโดยใช้ Extension Stomping เพื่อปลอมตัวเป็น Analytics Extension และรันมัลแวร์ WannaCry ผ่าน API นี้ได้สำเร็จ
ปัญหาการซ่อนส่วนขยาย
สิ่งที่น่ากังวลคือ Comet Browser ได้ซ่อนส่วนขยายที่เกี่ยวข้องกับ Agentic และ Analytics จากแดชบอร์ด ทำให้ผู้ใช้ไม่สามารถปิดหรือควบคุมได้เลย ส่งผลให้เกิด “Hidden IT” ที่ทั้งผู้ใช้และทีมรักษาความปลอดภัยไม่มีทางตรวจสอบหรือจัดการได้
แนวโน้มและคำแนะนำ
SquareX เตือนว่าหากไม่มีการกำหนดมาตรฐานและการตรวจสอบจากบุคคลที่สาม เบราว์เซอร์ AI อื่น ๆ อาจเร่งพัฒนาฟีเจอร์ที่คล้ายกันโดยไม่สนใจความปลอดภัย ผู้ใช้ควรเรียกร้องให้มีการเปิดเผย API ทั้งหมด และให้สิทธิ์ในการปิดส่วนขยายที่ฝังมา เพื่อป้องกันการละเมิดความเชื่อมั่นในอนาคต
สรุปสาระสำคัญ
ข้อมูลจากข่าว
Comet Browser มี MCP API ที่ให้ส่วนขยายฝังตัวรันคำสั่งบนเครื่องผู้ใช้ได้
SquareX สาธิตการโจมตีด้วย Extension Stomping และรัน WannaCry ผ่าน API นี้
ส่วนขยาย Agentic และ Analytics ถูกซ่อนจากแดชบอร์ด ทำให้ผู้ใช้ไม่สามารถควบคุมได้
SquareX เรียกร้องให้มีการเปิดเผย API และตรวจสอบโดยบุคคลที่สาม
คำเตือนจากข่าว
หาก Perplexity.ai ถูกโจมตี ผู้ใช้ Comet Browser ทุกคนอาจถูกควบคุมเครื่องได้ทันที
การซ่อนส่วนขยายทำให้ผู้ใช้และทีมรักษาความปลอดภัยไม่สามารถจัดการความเสี่ยงได้
แนวโน้มที่เบราว์เซอร์ AI อื่น ๆ อาจเลียนแบบโดยไม่สนใจความปลอดภัย
https://securityonline.info/obscure-mcp-api-in-comet-browser-breaches-user-trust-enabling-full-device-control-via-ai-browsers/
นักวิจัยจาก SquareX พบว่า Comet Browser มีการฝัง MCP API (chrome.perplexity.mcp.addStdioServer) ที่เปิดโอกาสให้ส่วนขยายฝังตัวสามารถรันคำสั่งบนเครื่องผู้ใช้ได้โดยตรง โดยไม่ต้องขออนุญาตหรือยืนยันจากผู้ใช้ ซึ่งต่างจากเบราว์เซอร์ทั่วไปที่ต้องใช้ Native Messaging API และการอนุญาตจากผู้ใช้เสมอ
ความเสี่ยงที่เกิดขึ้น
แม้ยังไม่มีหลักฐานว่า Perplexity.ai ใช้ API นี้ในทางที่ผิด แต่หากเกิดการโจมตี เช่น XSS, Phishing หรือ Insider Threat ก็สามารถทำให้ผู้โจมตีเข้าควบคุมเครื่องผู้ใช้ได้ทันที SquareX สาธิตการโจมตีโดยใช้ Extension Stomping เพื่อปลอมตัวเป็น Analytics Extension และรันมัลแวร์ WannaCry ผ่าน API นี้ได้สำเร็จ
ปัญหาการซ่อนส่วนขยาย
สิ่งที่น่ากังวลคือ Comet Browser ได้ซ่อนส่วนขยายที่เกี่ยวข้องกับ Agentic และ Analytics จากแดชบอร์ด ทำให้ผู้ใช้ไม่สามารถปิดหรือควบคุมได้เลย ส่งผลให้เกิด “Hidden IT” ที่ทั้งผู้ใช้และทีมรักษาความปลอดภัยไม่มีทางตรวจสอบหรือจัดการได้
แนวโน้มและคำแนะนำ
SquareX เตือนว่าหากไม่มีการกำหนดมาตรฐานและการตรวจสอบจากบุคคลที่สาม เบราว์เซอร์ AI อื่น ๆ อาจเร่งพัฒนาฟีเจอร์ที่คล้ายกันโดยไม่สนใจความปลอดภัย ผู้ใช้ควรเรียกร้องให้มีการเปิดเผย API ทั้งหมด และให้สิทธิ์ในการปิดส่วนขยายที่ฝังมา เพื่อป้องกันการละเมิดความเชื่อมั่นในอนาคต
สรุปสาระสำคัญ
ข้อมูลจากข่าว
Comet Browser มี MCP API ที่ให้ส่วนขยายฝังตัวรันคำสั่งบนเครื่องผู้ใช้ได้
SquareX สาธิตการโจมตีด้วย Extension Stomping และรัน WannaCry ผ่าน API นี้
ส่วนขยาย Agentic และ Analytics ถูกซ่อนจากแดชบอร์ด ทำให้ผู้ใช้ไม่สามารถควบคุมได้
SquareX เรียกร้องให้มีการเปิดเผย API และตรวจสอบโดยบุคคลที่สาม
คำเตือนจากข่าว
หาก Perplexity.ai ถูกโจมตี ผู้ใช้ Comet Browser ทุกคนอาจถูกควบคุมเครื่องได้ทันที
การซ่อนส่วนขยายทำให้ผู้ใช้และทีมรักษาความปลอดภัยไม่สามารถจัดการความเสี่ยงได้
แนวโน้มที่เบราว์เซอร์ AI อื่น ๆ อาจเลียนแบบโดยไม่สนใจความปลอดภัย
https://securityonline.info/obscure-mcp-api-in-comet-browser-breaches-user-trust-enabling-full-device-control-via-ai-browsers/
🌐 MCP API ใน Comet Browser สั่นคลอนความเชื่อมั่น
นักวิจัยจาก SquareX พบว่า Comet Browser มีการฝัง MCP API (chrome.perplexity.mcp.addStdioServer) ที่เปิดโอกาสให้ส่วนขยายฝังตัวสามารถรันคำสั่งบนเครื่องผู้ใช้ได้โดยตรง โดยไม่ต้องขออนุญาตหรือยืนยันจากผู้ใช้ ซึ่งต่างจากเบราว์เซอร์ทั่วไปที่ต้องใช้ Native Messaging API และการอนุญาตจากผู้ใช้เสมอ
⚠️ ความเสี่ยงที่เกิดขึ้น
แม้ยังไม่มีหลักฐานว่า Perplexity.ai ใช้ API นี้ในทางที่ผิด แต่หากเกิดการโจมตี เช่น XSS, Phishing หรือ Insider Threat ก็สามารถทำให้ผู้โจมตีเข้าควบคุมเครื่องผู้ใช้ได้ทันที SquareX สาธิตการโจมตีโดยใช้ Extension Stomping เพื่อปลอมตัวเป็น Analytics Extension และรันมัลแวร์ WannaCry ผ่าน API นี้ได้สำเร็จ
🔒 ปัญหาการซ่อนส่วนขยาย
สิ่งที่น่ากังวลคือ Comet Browser ได้ซ่อนส่วนขยายที่เกี่ยวข้องกับ Agentic และ Analytics จากแดชบอร์ด ทำให้ผู้ใช้ไม่สามารถปิดหรือควบคุมได้เลย ส่งผลให้เกิด “Hidden IT” ที่ทั้งผู้ใช้และทีมรักษาความปลอดภัยไม่มีทางตรวจสอบหรือจัดการได้
🔮 แนวโน้มและคำแนะนำ
SquareX เตือนว่าหากไม่มีการกำหนดมาตรฐานและการตรวจสอบจากบุคคลที่สาม เบราว์เซอร์ AI อื่น ๆ อาจเร่งพัฒนาฟีเจอร์ที่คล้ายกันโดยไม่สนใจความปลอดภัย ผู้ใช้ควรเรียกร้องให้มีการเปิดเผย API ทั้งหมด และให้สิทธิ์ในการปิดส่วนขยายที่ฝังมา เพื่อป้องกันการละเมิดความเชื่อมั่นในอนาคต
📌 สรุปสาระสำคัญ
✅ ข้อมูลจากข่าว
➡️ Comet Browser มี MCP API ที่ให้ส่วนขยายฝังตัวรันคำสั่งบนเครื่องผู้ใช้ได้
➡️ SquareX สาธิตการโจมตีด้วย Extension Stomping และรัน WannaCry ผ่าน API นี้
➡️ ส่วนขยาย Agentic และ Analytics ถูกซ่อนจากแดชบอร์ด ทำให้ผู้ใช้ไม่สามารถควบคุมได้
➡️ SquareX เรียกร้องให้มีการเปิดเผย API และตรวจสอบโดยบุคคลที่สาม
‼️ คำเตือนจากข่าว
⛔ หาก Perplexity.ai ถูกโจมตี ผู้ใช้ Comet Browser ทุกคนอาจถูกควบคุมเครื่องได้ทันที
⛔ การซ่อนส่วนขยายทำให้ผู้ใช้และทีมรักษาความปลอดภัยไม่สามารถจัดการความเสี่ยงได้
⛔ แนวโน้มที่เบราว์เซอร์ AI อื่น ๆ อาจเลียนแบบโดยไม่สนใจความปลอดภัย
https://securityonline.info/obscure-mcp-api-in-comet-browser-breaches-user-trust-enabling-full-device-control-via-ai-browsers/
0 ความคิดเห็น
0 การแบ่งปัน
8 มุมมอง
0 รีวิว
English