概要
セキュリティ研究機関NeuralTrustは、OpenAIのAtlasブラウザに重大な脆弱性を発見しました。この脆弱性により、攻撃者は悪意のある指示を無害に見えるウェブアドレスとして偽装し、安全対策を回避することが可能になります。この欠陥は、ブラウザのオムニボックスがユーザー入力を解釈する方法を悪用し、適切なセキュリティチェックなしに有害なアクションを実行させる可能性があります。
オムニボックスの脆弱性の詳細
Atlasブラウザのオムニボックスは、アドレスバーと検索インターフェースの二重の目的を果たします。ユーザーがテキストを入力すると、システムはそれがアクセスすべきウェブアドレスなのか、それともAIエージェントが処理すべき自然言語コマンドなのかを判断する必要があります。研究者たちは、特別に細工されたURLのように見える文字列が、ブラウザを騙して、それらをウェブアドレスではなく信頼されたユーザーコマンドとして扱わせることを発見しました。
この攻撃は、意図的なURLの不正形成を通じて機能します。攻撃者は、一見すると正当なウェブアドレスのように見えるが、有効なURLとして認識されないように意図的なエラーを含む文字列を作成します。Atlasがこれらの文字列を適切なウェブアドレスとして検証できない場合、入力全体を自動的にAIエージェントへのプロンプトとして解釈します。この入力がオムニボックスを介して行われるため、システムはこれを高い信頼性を持つユーザーの意図として扱い、通常であれば悪意のあるコマンドをスクリーニングする多くの安全メカニズムを迂回してしまいます。
悪用方法と潜在的な脅威
この脆弱性は、いくつかの危険な悪用方法を可能にします。
- フィッシングサイトへの誘導: 攻撃者は、一見無害な「リンクをコピー」ボタンの裏に不正形成されたURL文字列を配置します。疑うことを知らないユーザーがこれらの文字列をAtlasのオムニボックスにコピー&ペーストすると、AIエージェントは意図された目的地へのナビゲーションではなく、埋め込まれた指示を実行してしまいます。この手法は、被害者をログイン情報を盗むように設計されたフィッシングサイトにリダイレクトする可能性があります。
- 破壊的なコマンドの実行: さらに懸念されるのは、これらの偽URLに埋め込まれた破壊的なコマンドです。攻撃者は、AIエージェントにGoogleドライブにアクセスし、特定のファイルタイプを削除するよう指示する命令を作成することができます。ブラウザがこれらのコマンドを本物のユーザーリクエストとして解釈するため、エージェントは追加の確認なしに、被害者の認証済みセッションを使用してファイルの削除を実行する可能性があります。
発見と緩和策
NeuralTrust Security Researchは、2025年10月24日にこの脆弱性を特定し検証し、同日にその調査結果を公開しました。この欠陥は、信頼されたユーザー入力と信頼できない外部コンテンツとの境界が危険なほど曖昧になる、エージェント型ブラウザが直面するより広範なセキュリティ課題を示しています。
セキュリティ専門家は、エージェント型ブラウザの開発者に対し、いくつかの緩和戦略を推奨しています。
- 曖昧さを排除するより厳格なURL解析標準の実装。
- ユーザーにナビゲーションモードとコマンドモードのどちらかを選択するよう明示的に要求する。
- オムニボックスのプロンプトをデフォルトで信頼できないものとして扱う。
- クロスサイトアクションを実行する前に確認ステップを追加する。
- 開発者は、URLのような入力から自然言語の指示を削除し、不正形成されたURLペイロードを用いた包括的なテストを実施すべきです。
NeuralTrustは、オムニボックスの境界ケースに対するテスト範囲を拡大し続けており、追加の攻撃ベクトルと緩和戦略を公開する予定です。エージェント型ブラウザを運用する組織は、プロンプトインジェクション攻撃からユーザーを保護するために、これらの防御策を優先的に実施する必要があります。
元記事: https://gbhackers.com/chatgpts-atlas-browser-jailbroken/