新興的人工智慧瀏覽器（AI Browsers）在追求強大功能的同時，正以前所未有的速度和設計決策，挑戰著數十年來建立的瀏覽器安全原則。網路安全公司SquareX發布了一項關鍵研究，揭露了Comet(註)瀏覽器中隱藏的一個危險API，它使得AI瀏覽器中的擴充功能能夠繞過既有的安全沙盒機制，直接執行本機命令，從而獲取對使用者裝置的全面控制權。傳統瀏覽器廠商一直嚴格遵守安全控制措施，明確禁止瀏覽器及其擴充功能直接控制底層裝置，任何存取本機系統的需求都必須透過明確的註冊表條目和使用者同意的「原生訊息API」來實現。然而，Comet在追求功能強大的過程中，顯然規避了這些關鍵的防護措施。

註：
根據HackRead的報導，Comet 瀏覽器是一款新型AI驅動的瀏覽器，它內建一個名為 MCP API (Model Context Protocol API) 的模組，允許瀏覽器擴展程式獲得 完整的本地設備控制權限。這種設計突破了傳統瀏覽器的安全隔離原則，Comet 瀏覽器的核心爭議在於 MCP API 提供了「完整設備控制」能力，這雖然增強了AI功能，但也打破了瀏覽器的安全隔離原則，帶來重大安全與合規風險。
 

SquareX發布了一項關鍵研究，揭露了Comet中隱藏的一個API，該API 允許AI瀏覽器中的擴充功能執行本機命令並獲得對使用者裝置的完全控制權。研究表明，Comet實作了一個MCP API（chrome.perplexity.mcp.addStdioServer），允許其嵌入式擴充功能在使用者裝置上執行任意本機命令，而傳統瀏覽器明確禁止此類功能。

目前，該API位於Agentic擴充功能中，可透過 perplexity.ai 頁面觸發，從而為Comet建立隱藏通道，使其能夠存取本機資料並在使用者無法控制的情況下啟動任意命令/應用程式。問題不在於Perplexity是否會被攻破，而是它何時會被攻破。一個XSS漏洞、一次針對Perplexity員工的成功網路釣魚攻擊，或是內部威脅，都可能立即賦予攻擊者透過瀏覽器對每個Comet使用者裝置前所未有的控制權。這將造成災難性的第三方風險，因為使用者已將設備安全完全寄託於Perplexity的安全防護之上，卻又無從評估或緩解這種風險。

研究人員甚至在攻擊演示中，利用欺騙手法將惡意擴充功能偽裝成嵌入式分析擴充功能，從而注入腳本，最終調用該MCP API在受害者裝置上執行任意惡意程式，例如WannaCry。這證明了該API對使用者裝置構成的真實且極高的風險。這種設計從根本上顛覆了數十年來Chrome、Safari和Firefox等瀏覽器廠商所建立的安全原則，嚴重侵蝕了使用者信任與透明度。

更令人擔憂的是，由於這兩個擴充功能對Comet的代理功能至關重要，Perplexity卻將它們從Comet擴充功能控制面板中隱藏起來，即使它們已被攻破，使用者也無法停用。這些嵌入式擴充功能變成了安全團隊和使用者都無法察覺的「隱藏 IT」。此外，由於缺乏文檔，我們無從得知Comet是否以及何時會將存取權限擴展到其他「受信任」的網站。

在當前的瀏覽器戰爭中，許多AI瀏覽器公司為了追求速度和功能，正在以犧牲必要的安全文件和措施為代價來推出新功能。Comet中的MCP API漏洞正是對這種不良實作所帶來的第三方風險的早期警告。讓瀏覽器廠商或潛在的第三方獲得這種系統級別的控制權限，是極度危險的開端，因為傳統上，這種級別的存取權限需要經過明確的使用者同意和嚴格的安全審查。

如果使用者和安全社群不要求對相關技術進行問責，其他人工智慧瀏覽器為了保持競爭力，將會競相開發類似甚至更具侵入性的功能。SquareX呼籲人工智慧瀏覽器廠商強制要求揭露所有API，接受第三方安全審計，並提供使用者停用嵌入式擴充的控制選項。這不僅僅關乎某個瀏覽器中的某個API。如果業界現在不劃定界限，我們就是在開創一個先例，讓人工智慧瀏覽器可以打著創新的旗號，繞過數十年來累積的安全原則。

使用者有權利知道他們所使用的軟體對其裝置擁有多大的控制權。這種隱藏的、未經審查的API不僅是對使用者裝置安全的威脅，更是對整個網路安全生態系統透明度和責任制的破壞。業界必須立即行動起來，確立明確的界限，確保AI瀏覽器在帶來便利的同時，不會成為新的巨大安全漏洞。

資料來源：https://hackread.com/obscure-mcp-api-in-comet-browser-breaches-user-trust-enabling-full-device-control-via-ai-browsers/