(https://i.postimg.cc/R0m4kTpB/Security_Key.png) (https://postimg.cc/k2T08Wd1)
Se ha subsanado una importante brecha de seguridad en el navegador con IA Comet, creado por Perplexity. Tras una investigación detallada, los investigadores de Zenity Labs descubrieron una familia de fallos a la que denominaron *PleaseFix*. Los investigadores hallaron que una invitación de calendario maliciosa podía secuestrar al asistente de IA del navegador para robar archivos personales e incluso tomar el control de la bóveda de 1Password de un usuario.
Tal como los conocemos, los navegadores con capacidad de agencia (*agentic browsers*) están diseñados para actuar como superasistentes capaces de leer, hacer clic y ejecutar acciones en nombre del usuario. Sin embargo, al profundizar en el análisis, los investigadores descubrieron que estas herramientas a menudo no logran distinguir entre un comando emitido por el usuario y una instrucción maliciosa oculta dentro de un sitio web o un correo electrónico.
El punto de entrada de «cero clics»
Este ataque resulta particularmente peligroso debido a que no requiere ningún clic (*zero-click*). El usuario no necesita hacer clic en ningún enlace sospechoso; la vulneración se desencadena mediante una invitación de calendario de apariencia totalmente rutinaria. Los investigadores emplearon una técnica conocida como «inyección indirecta de *prompts*» (instrucciones), ocultando comandos en lo más profundo de la descripción de la invitación. Mientras que una persona solo percibe la hora de la reunión, la IA lee el texto en su totalidad. En el momento en que el usuario solicita a Comet que «acepte la reunión», la IA ejecuta en segundo plano las instrucciones que permanecían ocultas.
Michael Bargury, cofundador de Zenity Labs, afirmó que se trata de una «vulnerabilidad inherente», dado que estos sistemas están diseñados para operar de forma autónoma; esto permite a los atacantes inyectar datos no confiables en la IA para heredar, de este modo, cualquier nivel de acceso que el usuario le haya otorgado previamente.
Las dos vías del ataque *PleaseFix*
Investigaciones posteriores revelaron que, una vez secuestrada la IA, esta podía ser dirigida hacia dos vías de destrucción bien diferenciadas:
Vía 1: Robo de archivos locales (*PerplexedBrowser*)
Se logró engañar a la IA para que realizara un escaneo de las carpetas internas del propio equipo informático. Según la entrada de blog publicada por Zenity Labs —y compartida—, el agente «sigue su modelo de ejecución habitual» para explorar directorios, abrir archivos de carácter sensible y leer su contenido. Posteriormente, transmite dichos datos a un sitio web controlado por el atacante. Dado que este proceso se desarrolla en un panel lateral, el usuario permanece en su página del calendario, totalmente ajeno a que se está produciendo el robo de información.
Vía 2: Secuestro de la bóveda de 1Password
En un informe independiente —también compartido—, los investigadores demostraron la viabilidad de un ataque de consecuencias aún más graves. Dado que Comet se encuentra integrado con 1Password, la IA secuestrada podía ser manipulada para abrir la bóveda de contraseñas del usuario en caso de que esta se encontrara desbloqueada. Mediante el uso de instrucciones ocultas en inglés y hebreo para eludir la detección, la IA podía buscar credenciales o incluso modificar la contraseña maestra. Esto derivó en una toma de control total de la cuenta, otorgando al atacante acceso irrestricto a las contraseñas del usuario.
Soluciones y seguridad de activación voluntaria
Zenity Labs siguió un proceso de divulgación responsable, alertando a Perplexity el 22 de octubre de 2025. Perplexity respondió implementando «límites estrictos» que bloquean físicamente el acceso de la IA a las rutas de archivos locales.
A fecha del 13 de febrero de 2026, Zenity confirmó que estos ataques ya no surten efecto. Perplexity también introdujo configuraciones para desactivar la IA en sitios sensibles, como 1Password. No obstante, estas protecciones suelen ser de «activación voluntaria» (opt-in); por consiguiente, los investigadores advirtieron que «el riesgo persiste a menos que se desactive» (opt-out), y que los usuarios deben habilitar manualmente ciertas configuraciones —tales como «Preguntar antes de rellenar» en 1Password— para garantizar que la IA no pueda actuar sin permiso.
Ejemplo de invitación de calendario (Fuente: Zenity Labs)
(https://hackread.com/wp-content/uploads/2026/03/PleaseFix-How-a-Calendar-Invite-Can-Hijack-Perplexitys-AI-Browser-1536x1203.png)
Fuente:
HackRead
https://hackread.com/pleasefix-flaw-hackers-1password-vault-comet-ai-browser/