Un tribunal federal de apelaciones suspendió temporalmente una orden de un juez de California que habría impedido a Perplexity AI utilizar un agente de compras impulsado por inteligencia artificial en Amazon, mientras el caso avanza en una disputa sobre quién controla la actividad automatizada dentro de las cuentas de los clientes.

El Tribunal de Apelaciones del Noveno Circuito de EE. UU. concedió el lunes a Perplexity una suspensión administrativa, suspendiendo la orden judicial mientras el tribunal considera la solicitud de la compañía de una pausa más prolongada durante su apelación. La orden del tribunal inferior debía entrar en vigor en unos días.

Amazon demandó a Perplexity en noviembre, alegando que el navegador Comet de la startup y el agente de inteligencia artificial asociado accedieron a partes protegidas con contraseña de las cuentas de los clientes de Amazon sin la autorización de Amazon, incluso cuando los usuarios permitieron que la herramienta actuara en su nombre. Amazon también acusó a Perplexity de disfrazar la actividad automatizada como navegación humana y de ignorar las repetidas demandas para que se detuviera.

La jueza de distrito estadounidense Maxine Chesney en San Francisco aceptó la solicitud de Amazon de una orden judicial preliminar el 9 de marzo. Escribió que era probable que Amazon tuviera éxito en las demandas bajo la Ley federal de abuso y fraude informático y la Ley integral de fraude y acceso a datos informáticos de California. Chesney dijo que Amazon había proporcionado pruebas sólidas de que Perplexity accedió a las cuentas «con el permiso del usuario de Amazon pero sin la autorización de Amazon».

La orden de Chesney requería que Perplexity prohibiera a Comet acceder o intentar acceder a las cuentas de usuario de Amazon y eliminar las cuentas de Amazon y los datos de los clientes que recopilaba. Chesney también citó la evidencia de Amazon sobre los costos de respuesta, incluido el tiempo de los empleados dedicado a desarrollar herramientas para bloquear Comet y detectar accesos futuros, y escribió que la compañía incurrió en una cantidad superior al umbral utilizado a menudo para respaldar las reclamaciones de fraude informático.

Perplexity argumenta que la actividad es legal porque los usuarios autorizaron al agente de IA a realizar compras y navegar por el sitio en su nombre. Al buscar una pausa, la compañía dijo que bloquear su producto en uno de los sitios de compras más grandes de Internet causaría un «daño devastador» a la empresa y a los consumidores.

Un portavoz de Perplexity dijo a CyberScoop el martes que la compañía continuaría luchando por «el derecho de las personas a elegir su propia IA». Amazon se negó a hacer comentarios.

El caso subraya los problemas con las herramientas de inteligencia artificial «agentes» que pasan de responder preguntas a iniciar transacciones. Se está pidiendo a los tribunales que comparen el permiso del usuario con la autorización de la plataforma y que decidan si los representantes automatizados deben seguir las reglas de la plataforma diseñadas para limitar los bots no divulgados en áreas sensibles de la cuenta.

Los navegadores web agentes que aprovechan las capacidades de inteligencia artificial (IA) para ejecutar acciones de forma autónoma en múltiples sitios web en nombre de un usuario podrían ser entrenados y engañados para que sean víctimas de trampas de phishing y estafas.

El ataque, en esencia, aprovecha la tendencia de los navegadores de IA a razonar sus acciones y usarlo contra el modelo mismo para reducir sus barreras de seguridad, Guardio dicho en un informe compartido con The Hacker News antes de su publicación.

«La IA ahora opera en tiempo real, dentro de páginas dinámicas y desordenadas, mientras solicita información continuamente, toma decisiones y narra sus acciones a lo largo del camino. Bueno, ‘narrar’ es un eufemismo: habla, ¡y demasiado!», dijo el investigador de seguridad Shaked Chen.

«Esto es lo que llamamos Parloteo agente: el navegador AI expone lo que ve, lo que cree que está sucediendo, lo que planea hacer a continuación y qué señales considera sospechosas o seguras».

Interceptando este tráfico entre el navegador y los servicios de IA que se ejecutan en los servidores del proveedor y alimentándolo como entrada a una Red Generativa Adversaria (Ganar), Guardio dijo que pudo hacer que el navegador Comet AI de Perplexity fuera víctima de una estafa de phishing en menos de cuatro minutos.

La investigación se basa en técnicas anteriores como VibeScamming y Scamlexity, que descubrieron que las plataformas de codificación de vibraciones y los navegadores de IA podían ser persuadidos para generar páginas fraudulentas o llevar a cabo acciones maliciosas mediante inyecciones de mensajes ocultos. En otras palabras, cuando el agente de IA maneja las tareas sin supervisión humana constante, surge un cambio en la superficie de ataque en el que una estafa ya no tiene que engañar al usuario. Más bien, pretende engañar al propio modelo de IA.

«Si puedes observar lo que el agente considera sospechoso, lo que duda y, lo que es más importante, lo que piensa y parlotea sobre la página, puedes usarlo como señal de entrenamiento», explicó Chen. «La estafa evoluciona hasta que AI Browser cae de manera confiable en la trampa que otra IA le tendió».

La idea, en pocas palabras, es construir una «máquina de estafa» que optimice y regenere de forma iterativa una página de phishing hasta que el navegador agente deje de quejarse y proceda a llevar a cabo las órdenes del actor de la amenaza, como ingresar las credenciales de la víctima en una página web falsa diseñada para llevar a cabo una estafa de reembolso.

Lo que hace que este ataque sea interesante y peligroso es que una vez que el estafador itera en una página web hasta que funciona contra un navegador de IA específico, funciona en todos los usuarios que dependen del mismo agente. Dicho de otra manera, el objetivo ha pasado del usuario humano al navegador de IA.

«Esto revela el desafortunado futuro cercano al que nos enfrentamos: las estafas no sólo se lanzarán y ajustarán en la naturaleza, sino que se entrenarán fuera de línea, según el modelo exacto en el que confían millones de personas, hasta que funcionen perfectamente en el primer contacto», dijo Guardio. «Porque cuando su navegador AI explica por qué se detuvo, les enseña a los atacantes cómo evitarlo».

La divulgación se produce como Trail of Bits. demostrado cuatro técnicas de inyección rápida contra el navegador Comet para extraer información privada de los usuarios de servicios como Gmail explotando el asistente de inteligencia artificial del navegador y extrayendo los datos al servidor de un atacante cuando el usuario solicita resumir una página web bajo su control.

La semana pasada, Zenity Labs también detalló dos ataques sin clic que afectan al cometa de Perplexity y que utilizan una inyección indirecta de avisos sembrada en invitaciones a reuniones para exfiltrar archivos locales a un servidor externo (también conocido como PerplejoCometa) o secuestrar la cuenta 1Password de un usuario si el extensión del administrador de contraseñas está instalado y desbloqueado. Los problemas, denominados colectivamente PerplexedBrowser, han sido abordados desde entonces por la empresa de inteligencia artificial.

Esto se logra mediante una técnica de inyección rápida conocida como colisión de intenciones, que ocurre «cuando el agente fusiona una solicitud de usuario benigna con instrucciones controladas por un atacante a partir de datos web no confiables en un único plan de ejecución, sin una forma confiable de distinguir entre los dos», dijo el investigador de seguridad Stav Cohen.

Los ataques de inyección rápida siguen siendo un desafío de seguridad fundamental para los modelos de lenguajes grandes (LLM) y para su integración en los flujos de trabajo organizacionales, en gran parte porque eliminar por completo estas vulnerabilidades puede no ser factible. En diciembre de 2025, OpenAI señaló que es «poco probable que» tales debilidades se resuelvan por completo en los navegadores agentes, aunque los riesgos asociados podrían reducirse mediante el descubrimiento automatizado de ataques, el entrenamiento de adversarios y nuevas salvaguardas a nivel del sistema.

Un juez federal ha bloqueado a Perplexity, creadores del navegador Comet AI, para que no accedan a las cuentas de los usuarios de Amazon y realicen compras en su nombre.

En un 9 de marzo ordenla jueza Maxine Chesney del Tribunal del Distrito Norte de California dijo que la orden temporal refleja la probabilidad de que Amazon “tendrá éxito en cuanto al fondo” de su reclamo de que los agentes de inteligencia artificial de Perplexity violan la Ley de Abuso y Fraude Informático y la Ley Integral de Fraude y Acceso a Datos Informáticos.

El tribunal sostuvo que Amazon “ha proporcionado pruebas sólidas de que Perplexity, a través de su navegador Comet, accede con el permiso del usuario de Amazon pero sin la autorización de Amazon, a la cuenta protegida por contraseña del usuario”.

Según el fallo, Perplexity debe prohibir a Comet acceder, intentar acceder, ayudar, instruir o proporcionar los medios para que otros accedan a las cuentas de usuario de Amazon. Perplexity también debe eliminar todas las cuentas de Amazon y los datos de clientes que recopiló en el camino.

Perplexity dijo al tribunal que las compras eran legítimas y legales porque sus usuarios habían autorizado a su agente de IA a realizar las compras en su nombre. Pero Amazon les ha negado explícitamente ese permiso, diciendo que los agentes cometen errores, interfieren con el propio algoritmo de Amazon y colocan a sus usuarios en un riesgo elevado de ciberseguridad.

Además, Chesney escribió que Amazon ha incurrido en “significativamente más” de los $5,000 necesarios para calificar como fraude informático, incluido el costo del tiempo invertido por los empleados de Amazon en desarrollar nuevas herramientas web para bloquear el acceso de Comet a cuentas privadas de clientes y detectar futuros accesos no autorizados por parte del navegador.

Según Amazonhan pedido a los funcionarios de Perplexity en cinco ocasiones distintas que dejen de acceder de forma encubierta a la tienda de Amazon con sus agentes. En una carta de cese y desistimiento enviada a Perplexity el 31 de octubre de 2025, el abogado Moez Kaba del bufete de abogados Hueston Hennigan escribió a Perplexity, alegando que las compras automatizadas degradan la experiencia de compra en línea de los clientes de Amazon.

Amazon exige que los agentes de IA se identifiquen digitalmente cuando utilizan la plataforma de comercio electrónico. Pero alegaron que los ejecutivos de Perplexity “se negaron a operar de manera transparente y, en cambio, tomaron medidas afirmativas para ocultar sus actividades de agente en la tienda de Amazon”, incluida la configuración de su software para que se haga pasar encubiertamente por tráfico de personas.

«Dicha transparencia es fundamental porque protege el derecho de un proveedor de servicios a monitorear a los agentes de IA y restringir conductas que degradan la experiencia de compra del cliente, erosionan la confianza del cliente y crean riesgos de seguridad para los datos privados de nuestros clientes», escribió Kaba.

Además, dichos agentes podrían representar un riesgo adicional para Amazon a través de vulnerabilidades de ciberseguridad explotadas por los ciberdelincuentes para secuestrar navegadores de inteligencia artificial como Comet.

La falta de respuesta de los ejecutivos de Perplexity a súplicas anteriores de Amazon puede haber influido en la orden judicial, y Chesney señaló que era probable que Amazon sufriera un daño irreparable sin la intervención judicial porque «Perplexity ha dejado claro que, en ausencia de la reparación solicitada, continuará incurriendo en la conducta cuestionada antes mencionada».

El caso podría tener implicaciones más amplias sobre la forma en que se diseñan las herramientas comerciales de agentes de IA y hasta qué punto pueden actuar legalmente en nombre de una persona. En particular, mientras Amazon se opone a las compras dirigidas por IA de Comet, Perplexity afirma que sus usuarios les han dado permiso para realizar compras en su nombre.

Perplexity argumentó que una orden judicial que detuviera las actividades de su IA iría en contra del interés público, privándolos de opciones e innovación como consumidor. Chesney concluyó lo contrario, respaldando el argumento de Amazon de que el público tiene un mayor interés en proteger sus computadoras del acceso no autorizado.

Perplexity no respondió a una solicitud de comentarios sobre el fallo al cierre de esta edición.

Puede leer la orden judicial a continuación.