La firma de seguridad SquareX y Perplexity AI se encuentran en medio de una controversia tras la divulgación de una supuesta falla crítica en el navegador Comet. Mientras SquareX asegura haber descubierto una forma de ejecutar comandos locales abusando de un API escondido, Perplexity sostiene que todo el análisis es “investigación falsa”.
¿Qué originó el conflicto?
SquareX publicó un análisis señalando riesgo elevado en funciones internas del navegador Comet. Según su investigación, dos extensiones ocultas —Analytics y Agentic— interactúan con el navegador mediante el Model Context Protocol (MCP), una API usualmente empleada para conectar aplicaciones de IA con datos o herramientas externas.
Ambas extensiones solo se comunican con subdominios de perplexity.ai, y no pueden deshabilitarse.
SquareX afirma que, si un atacante compromete estos subdominios o manipula la extensión Agentic, podría abusar del MCP para ejecutar comandos en la máquina del usuario sin su consentimiento: desde desplegar ransomware hasta vigilar actividades o exfiltrar información.
El método de ataque presentado por SquareX
Los investigadores mostraron un ataque basado en extension stomping, creando una extensión maliciosa que suplanta a la legítima y se instala manualmente.
En la demostración, lograron ejecutar ransomware después de reiniciar el navegador, aparentemente sin avisos de permisos.
SquareX admite que la explotación real requeriría un vector previo, como:
Compromiso de la extensión mediante XSS o ataques MitM.
Acceso a sistemas internos de Perplexity.
Alguna forma de manipulación en la cadena de suministro.
La empresa dice haber reportado la falla el 4 de noviembre, sin recibir respuesta antes de la divulgación pública.
La respuesta de Perplexity: “investigación falsa”
Perplexity rechazó las conclusiones y aseguró que el escenario descrito no representa un riesgo real. La compañía afirma:
Que implementó medidas preventivas por precaución.
Que la demostración de SquareX depende de intervención humana poco realista, como cargar manualmente una extensión maliciosa.
Que Comet sí solicita consentimiento explícito para acciones locales y para la instalación de MCPs.
Perplexity además señala que no tiene evidencia de ataques reales contra usuarios de Comet y que trabaja continuamente con investigadores externos para mejorar su seguridad.
Según su versión, el reporte enviado por SquareX no pudo ser accesado, y la firma no respondió a solicitudes de más información.
SquareX insiste: el problema es el nivel de permisos del MCP
En respuesta, SquareX defendió que su objetivo no era demostrar un ataque masivo, sino advertir sobre los permisos amplios del MCP y el riesgo inherente si se combina con un vector de compromiso.
También afirma que durante sus pruebas no se mostró ninguna ventana de confirmación y que el ransomware se ejecutó de forma inmediata al reiniciar Comet.
Conclusión
La disputa entre SquareX y Perplexity refleja un debate frecuente en el ecosistema de seguridad: ¿qué constituye una vulnerabilidad real y qué escenarios son demasiado teóricos?
Mientras no hay evidencia de ataques en el mundo real, la discusión deja claro que el uso de APIs potentes como MCP en navegadores de IA requiere controles estrictos, validación transparente y respuestas más claras entre proveedores y analistas.
Para las empresas, el mensaje es simple: mantener vigilancia sobre nuevas superficies de ataque habilitadas por navegadores impulsados por IA y exigir procesos maduros de divulgación y validación de vulnerabilidades.
