Investigadores revelan cómo instrucciones ocultas en capturas de pantalla y páginas web pueden forzar a asistentes de navegador a actuar con credenciales del usuario. El hallazgo, reportado entre agosto y octubre de 2025, plantea riesgos directos para bancos, correos y servicios en la nube.
La prometida comodidad de los navegadores con asistentes agentivos —capaces de “actuar” en nuestro nombre— choca con un problema fundamental de seguridad: ¿qué ocurre cuando el contenido de la web deja de ser solo información y pasa a ser una fuente de comandos?
Investigadores de seguridad liderados por Artem Chaikin (Senior Mobile Security Engineer) y Shivan Kaul Sahib (VP, Privacy and Security) publicaron una segunda entrega de su serie sobre riesgos en los llamados agentic browsers que confirma que las inyecciones de prompt no son incidentes aislados, sino un desafío sistémico.
En uno de los ataques demostrados contra Perplexity Comet, la técnica es insidiosa y simple: un atacante inserta texto casi invisible en una página —por ejemplo, con letra azul pálida sobre fondo amarillo— que pasa desapercibido para el usuario humano pero es detectado por el proceso de reconocimiento de texto que emplea el asistente (OCR u otro). Cuando el usuario captura la pantalla y pide al asistente que resuma o analice la imagen, ese texto “camuflado” se extrae y se incorpora al prompt sin distinguirse del contenido legítimo. El resultado: la IA recibe instrucciones maliciosas y puede usar las herramientas del navegador para ejecutar acciones con los privilegios del usuario autenticado.
El flujo del hallazgo incluye plazos concretos: la vulnerabilidad en Perplexity fue descubierta y reportada el 1 de octubre de 2025, notificada públicamente el 2 de octubre, y se hizo pública en detalle el 20 de octubre de 2025. En paralelo, una segunda falla en Fellou —esta vez explotando la navegación a páginas maliciosas que el navegador envía íntegramente al modelo— fue detectada el 20 de agosto de 2025 y divulgada el 20 de octubre de 2025.
El vector contra Fellou es diferente, pero el riesgo es el mismo: basta pedir al asistente que “vaya a tal web” para que el navegador envíe el contenido de esa página al LLM. Si la página contiene instrucciones visibles, éstas pueden sobreescribir o manipular la intención del usuario y forzar acciones. En ambos casos, la barrera tradicional entre “entrada confiable del usuario” y “contenido web no confiable” se rompe cuando el modelo recibe y ejecuta órdenes que derivan de recursos remotos.
Los autores subrayan la gravedad práctica: los asistentes agentivos suelen operar con las credenciales del navegador del usuario; por tanto, un simple resumen de un post en Reddit o una captura de pantalla maliciosa podría desembocar en la extracción de datos bancarios, manipulación de correos, o acceso a almacenamientos en la nube. Como dicen los investigadores, «una web más segura es buena para todos»; y admiten que «reconocemos que este es un problema difícil», por lo que proponen controles inmediatos y medidas de diseño.
Entre las recomendaciones concretas figura aislar las funcionalidades agentivas del navegador común y hacer que las acciones sensibles —abrir sitios, leer correos, operar con credenciales— requieran una invocación explícita y deliberada del usuario. En otras palabras: no delegar en segundo plano actividades críticas sin una confirmación clara. También insisten en que las mejoras deben ser “categóricas” y aplicarse en todo el ecosistema de navegadores agentivos, porque la amenaza es transversal.
El post anuncia además que habrá más divulgaciones (incluyendo una vulnerabilidad adicional que se reserva por ahora) y promete que Brave explicará próximamente su hoja de ruta para llevar la navegación agentiva de forma más segura a sus «100 millones+ usuarios». Ese número —citado por los autores— ilustra lo que está en juego: vulnerabilidades de este tipo pueden tener alcance masivo.
Las lecciones son claras: 1) reevaluar los supuestos de confianza en la entrada de datos, 2) exigir separación clara entre datos y comandos, y 3) priorizar diseños que requieran consentimiento y visibilidad humana antes de ejecutar acciones con credenciales. Hasta que existan salvaguardas arquitectónicas y prácticas compartidas, los navegadores agentivos seguirán siendo una herramienta poderosa —y potencialmente peligrosa— en manos de usuarios desprevenidos y atacantes ingeniosos.
