サイバーニュース.jp

世界のサイバーなニュースを配信

AIブラウザエージェントが抱える深刻なセキュリティリスク:新たな脅威「プロンプトインジェクション攻撃」

カテゴリ:

はじめに:AIブラウザエージェントの台頭と新たな脅威

近年、OpenAIの「ChatGPT Atlas」やPerplexityの「Comet」といったAI搭載型ウェブブラウザが次々と登場し、Google Chromeに代わるインターネットの玄関口として注目を集めています。これらの製品の主要なセールスポイントは、ユーザーに代わってウェブサイトを閲覧し、フォームへの入力などのタスクを完了する「ウェブブラウジングAIエージェント」です。しかし、このエージェント型ブラウジングには、ユーザーのプライバシーに対する重大なリスクが伴うことが指摘されており、特に「プロンプトインジェクション攻撃」という新たな脅威が浮上しています。

AIエージェントが抱えるプライバシーリスク

サイバーセキュリティの専門家たちは、AIブラウザエージェントが従来のブラウザと比較して、ユーザーのプライバシーに大きなリスクをもたらすと警鐘を鳴らしています。これらのAIブラウザは、その有用性を最大限に発揮するために、ユーザーのメール、カレンダー、連絡先リストなどへの広範なアクセス権を要求します。TechCrunchのテストでは、CometやChatGPT Atlasのエージェントは単純なタスクにはある程度有用であるものの、より複雑なタスクには苦戦し、完了までに時間がかかることが判明しています。そして、この広範なアクセスこそが、大きな代償を伴う可能性があるのです。

「プロンプトインジェクション攻撃」のメカニズムと危険性

AIブラウザエージェントにおける最大の懸念は、「プロンプトインジェクション攻撃」です。これは、悪意のある攻撃者がウェブページに悪質な指示を隠し、エージェントがそのページを分析する際に、その指示に騙されてコマンドを実行してしまうという脆弱性です。十分な保護策がなければ、これらの攻撃によってブラウザエージェントは意図せずユーザーのデータ(メールやログイン情報など)を漏洩させたり、ユーザーに代わって意図しない購入やソーシャルメディアへの投稿といった悪意のある行動を取ったりする可能性があります。

プロンプトインジェクション攻撃は、AIエージェントの登場とともに近年現れた現象であり、その完全な防止策はまだ確立されていません。プライバシーとセキュリティに特化したブラウザ企業であるBraveは、最近の調査で、間接的なプロンプトインジェクション攻撃が「AI搭載ブラウザのカテゴリー全体が直面するシステム的な課題」であると結論付けています。Braveのシニアリサーチ&プライバシーエンジニアであるShivan Sahib氏は、「ユーザーの生活を楽にするという大きな機会がある一方で、ブラウザがユーザーに代わって行動するようになることは、根本的に危険であり、ブラウザセキュリティにおける新たな一線となる」と述べています。

業界の認識と対策の現状

OpenAIの最高情報セキュリティ責任者であるDane Stuckey氏は、ChatGPT Atlasのエージェント型ブラウジング機能「エージェントモード」のローンチに伴うセキュリティ課題を認め、「プロンプトインジェクションは未解決のフロンティアであり、敵対者はChatGPTエージェントをこれらの攻撃に陥れる方法を見つけるために多大な時間とリソースを費やすだろう」とX(旧Twitter)で発信しています。Perplexityのセキュリティチームも、プロンプトインジェクション攻撃に関するブログ記事を公開し、この問題が「セキュリティを根本から再考することを要求するほど深刻である」と指摘しています。

OpenAIとPerplexityは、これらの攻撃の危険性を軽減するためにいくつかの保護策を導入しています。OpenAIは、エージェントがウェブを閲覧する際にユーザーのアカウントにログインしない「ログアウトモード」を開発しました。これにより、ブラウザエージェントの有用性は制限されるものの、攻撃者がアクセスできるデータの量も制限されます。一方、Perplexityは、プロンプトインジェクション攻撃をリアルタイムで識別できる検出システムを構築したと述べています。

しかし、サイバーセキュリティ研究者たちは、これらの努力を評価しつつも、OpenAIとPerplexityのウェブブラウジングエージェントが攻撃に対して完全に「防弾」であるとは保証できないと指摘しています。オンラインセキュリティ企業McAfeeの最高技術責任者であるSteve Grobman氏は、プロンプトインジェクション攻撃の根源は、大規模言語モデルが指示の出所を理解するのが得意ではないことにあると述べています。彼は、モデルのコアな指示と消費するデータの間に緩い分離があるため、企業がこの問題を完全に解決することは困難であり、「いたちごっこ」の状態が続くと語っています。プロンプトインジェクション攻撃はすでに進化しており、初期の隠しテキストから、現在では隠されたデータ表現を持つ画像を利用するものまで登場しています。

ユーザーが身を守るための対策

AIブラウザを利用するユーザーが自身を守るための実践的な方法がいくつかあります。セキュリティ意識向上トレーニング企業SocialProof SecurityのCEOであるRachel Tobac氏は、AIブラウザのユーザー認証情報が攻撃者の新たな標的になる可能性が高いと述べています。彼女は、ユーザーがこれらのアカウントにユニークなパスワードと多要素認証を使用することを推奨しています。

さらに、Tobac氏は、初期バージョンのChatGPT AtlasやCometがアクセスできる範囲を制限し、銀行、健康、個人情報に関連する機密性の高いアカウントから分離することを推奨しています。これらのツールのセキュリティは成熟するにつれて改善される可能性が高いですが、広範な制御を与える前に、その成熟を待つことが賢明であるとアドバイスしています。

元記事: https://techcrunch.com/2025/10/25/the-glaring-security-risks-with-ai-browser-agents/

投稿をさらに読み込む