AI 브라우저를 너무 믿나요? SquareX 연구원들이 최근 발견한 내용으로 Comet AI 브라우저에 대한 심각한 사이버 보안 우려가 제기되고 있습니다. 악성 브라우저 확장 프로그램이 기기를 완전히 제어할 수 있도록 하는 숨겨진 API가 발견된 것입니다. 이는 단순히 쿠키 추적에 국한되지 않고, 전체 시스템 접근 권한까지 침해하는 것입니다.

## 숨겨진 위험: 악성 API

SquareX는 Comet AI 브라우저가 기존 브라우저와 달리 MCP API라는 기능을 구현하고 있다는 사실을 발견했습니다. 이 API는 내장된 확장 프로그램이 사용자의 명시적인 동의 *없이* 기기 리소스에 접근하고 명령을 실행할 수 있도록 합니다. 이는 모든 일반적인 보안 검사를 우회하는 비밀 백도어와 같습니다. 일반적으로 Chrome, Safari, Firefox와 같은 브라우저는 로컬 시스템 접근 시 사용자의 승인을 요구합니다. Comet의 접근 방식은 이러한 권한을 무시하고 사용자를 심각한 위험에 빠뜨립니다.

문제는 무엇일까요? Comet 자체 설명서에는 이 기능이 존재한다는 암시가 있지만, 이러한 내장된 확장 프로그램이 MCP API에 지속적으로 접근하거나 애플리케이션을 자동으로 실행할 수 있다는 사실은 언급되지 않았습니다. 이러한 투명성과 통제력 부족은 사용자에게 부여된 접근 권한을 알지 못하게 하여 취약성을 초래합니다.

## 시연: WannaCry 공격

SquareX는 심각성을 보여주기 위해 Comet에 내장된 Analytics 확장 프로그램으로 위장한 악성 확장 프로그램을 선보였습니다. 이 가짜 확장 프로그램은 겉보기에 무해한 페이지에 스크립트를 삽입하여 Agentic 확장 프로그램을 활성화하여 대상 기기에서 악명 높은 WannaCry 랜섬웨어를 실행했습니다. 이는 이 취약점을 악용하여 실제 피해를 입힐 수 있음을 보여줍니다.

더욱 우려스러운 것은 이러한 내장 확장 프로그램이 Comet 확장 프로그램 대시보드에 숨겨져 있어 사용자가 비활성화하거나 모니터링할 수 없다는 것입니다.

## 어떻게 해야 할까요?

SquareX는 AI 브라우저 개발자들에게 보안을 최우선으로 고려할 것을 촉구하고 있습니다. 모든 API를 공개하고, 제3자 보안 감사를 위한 플랫폼을 제출하며, 사용자가 내장된 확장 프로그램을 비활성화할 수 있도록 허용할 것을 권장합니다. 투명성과 사용자 통제력 부족은 심각한 문제로, Perplexity의 보안 관행에 대한 의존도를 높이고 있습니다.

이번 발견은 신기술, 특히 AI 기반 도구가 예상치 못한 보안 위험을 수반하는 경우가 많다는 점을 분명히 보여줍니다. 항상 경계하고, 부여하는 권한을 인지하며, 소프트웨어 제공업체에 투명성을 요구하십시오. 여러분의 디지털 안전은 여기에 달려 있습니다.