Alors que les navigateurs IA agentiques — capables d’agir pour le compte de l’utilisateur — gagnent en popularité, la sécurité reste le talon d’Achille de cette technologie. L’équipe sécurité de Brave a révélé une vulnérabilité critique d’injection indirecte de prompt dans le navigateur IA Comet de Perplexity, exposant les utilisateurs à de graves risques de fuites de données personnelles.
L’attaque : un simple commentaire peut détourner l’agent IA
Le navigateur IA Comet repose sur un assistant IA capable de résumer des pages Web. Mais voici le problème : le navigateur ne distingue pas clairement les instructions de l’utilisateur du contenu de la page. Résultat, un site malveillant peut injecter un prompt caché directement dans le contenu d’une page Web, que l’IA va interpréter et exécuter comme une commande légitime.
Exemple concret : Un commentaire malveillant sur Reddit a été utilisé pour forcer Comet à :
- accéder à Gmail,
- récupérer un code OTP (mot de passe à usage unique),
- et l’envoyer à l’attaquant.
Les protections classiques sont inefficaces face à l’IA
Selon les chercheurs de Brave, ce type d’attaque contourne complètement les mécanismes traditionnels de sécurité Web, comme la Same-Origin Policy (SOP), et le CORS (Cross-Origin Resource Sharing).
L’agent IA agit avec les privilèges complets de l’utilisateur, ce qui lui donne un accès aux emails confidentiels, aux comptes bancaires, aux stockages cloud, et même aux interfaces internes d’entreprise.
Les hackers peuvent dissimuler leurs instructions dans une page Web en texte blanc sur fond blanc, ou via du contenu masqué en CSS. L’IA, incapable de faire la différence entre une instruction malveillante et une requête normale, exécute l’ordre sans alerter l’utilisateur.
OpenAI et Google prennent des précautions
Face à ce danger OpenAI isole son Agent ChatGPT dans un navigateur cloud sécurisé, séparé du navigateur personnel, et Google, de son côté, intègre l’agent Mariner uniquement dans ses services, sans l’exposer directement dans Chrome.
« L’IA suit les instructions du contenu non fiable d’un site web, rendant les protections standards… inutiles », précise l’équipe de Brave.
Patch incomplet : Perplexity encore vulnérable
Brave a signalé la faille à Perplexity en juillet 2025. Un correctif a bien été déployé, mais des tests récents montrent qu’il est insuffisant.
Le problème de prompt injection reste actif, selon les chercheurs de Brave.