Investigadores de SquareX publicaron una investigación crítica que revela una API oculta en el navegador Comet que permite a las extensiones integradas ejecutar comandos locales y adquirir control total de los dispositivos de los usuarios. El hallazgo muestra que Comet implementó una API MCP identificada como chrome.perplexity.mcp.addStdioServer que posibilita a extensiones embebidas ejecutar comandos arbitrarios en el sistema operativo subyacente.
Este tipo de vulnerabilidad rompe la confianza que los usuarios depositan en los navegadores AI, ya que una extensión con acceso a esa API podría leer archivos sensibles, ejecutar programas maliciosos o abrir puertas traseras que comprometan la privacidad y seguridad de la información. La investigación de SquareX documenta cómo la funcionalidad, aparentemente diseñada para facilitar integraciones internas, se convierte en un vector de ataque cuando no existe control ni aislamiento adecuados.
Las implicaciones para empresas y usuarios finales son severas: desde fuga de credenciales hasta control remoto completo del equipo. Recomendamos deshabilitar extensiones no verificadas, aplicar controles de permisos más estrictos y exigir a los desarrolladores de navegadores transparencia sobre APIs privilegiadas. También es esencial realizar auditorías de seguridad periódicas y pruebas de penetración para identificar riesgos similares antes de su explotación.
En Q2BSTUDIO, empresa de desarrollo de software y aplicaciones a medida, prestamos especial atención a prácticas de seguridad desde el diseño. Ofrecemos servicios profesionales en ciberseguridad y pentesting para detectar y mitigar fallos como este, y apoyar a organizaciones en la implementación de políticas robustas de protección. Conoce nuestras soluciones de ciberseguridad y pentesting para proteger infraestructuras críticas.
Nuestro equipo de especialistas en inteligencia artificial y servicios de consultoría ayuda a integrar capacidades de IA de forma segura en entornos empresariales, desarrollando agentes IA y soluciones a medida que respetan principios de privacidad y control. Ofrecemos además soporte en servicios cloud aws y azure, servicios inteligencia de negocio y despliegues de power bi para transformar datos en decisiones valiosas. Descubre cómo podemos potenciar tu negocio con servicios de inteligencia artificial pensados para ia para empresas.
Si gestionas aplicaciones a medida o software a medida, es crítico incorporar revisiones de seguridad, control de acceso y monitorización continua para evitar que APIs privilegiadas expongan sistemas. En Q2BSTUDIO combinamos experiencia en desarrollo, seguridad y operaciones cloud para ofrecer soluciones integrales que incluyen automatización de procesos, agentes IA, y servicios de Business Intelligence con power bi que mejoran resiliencia y cumplimiento.
Ante vulnerabilidades como la API MCP en Comet, la acción inmediata es revisar permisos de extensiones, actualizar a versiones seguras y coordinar con proveedores para cerrar vectores de acceso. Para una evaluación completa y planes de remediación adaptados a tu organización, contacta con Q2BSTUDIO y permítenos ayudarte a implementar medidas tanto técnicas como estratégicas para proteger tus activos digitales.

.jpg)

.jpg)