OpenAIのAtlasやPerplexityのCometといったAIブラウザは利便性を謳っていますが、 同時に大きなサイバーセキュリティリスクを伴い、ハッカーにとって新たな遊び場となっています。
AI 搭載のウェブブラウザは、Google Chrome や Brave などの従来のブラウザと競合し、毎日数十億人のインターネット ユーザーをtracことを目的としています。.
OpenAIは数日前にAtlasをリリースし、PerplexityのCometは数ヶ月前から存在しています。AI搭載ブラウザは、入力やクリック操作でページをめくることができます。ユーザーはブラウザに指示を出し、航空券の予約、メールの要約、さらにはフォームへの入力まで行うことができます。.
AI搭載ブラウザは基本的に、デジタルアシスタントとして機能し、ウェブを自律的にナビゲートするように設計されています。オンライン生産性における新たな大きな飛躍として期待されています。.
セキュリティ研究者がAIブラウザの欠陥を指摘
しかし、ほとんどの消費者はAIブラウザの使用に伴うセキュリティリスクを認識していません。このようなブラウザは、プロンプトインジェクションと呼ばれる新しい現象によって、高度なハッキングに対して脆弱です。.
ハッカーはAIウェブブラウザを悪用し、ユーザーのログインセッションにアクセスして不正な操作を実行する可能性があります。例えば、メールやソーシャルメディアアカウントにアクセスしたり、銀行口座の詳細を閲覧して資金を移動したりすることも可能です。.
調査によると、ハッカーはウェブページや画像の中にさえも隠された命令を埋め込むことができる。AIエージェントがこのコンテンツを分析し、隠された命令を見つけると、あたかもそれが正当なユーザーコマンドであるかのように実行してしまう可能性がある。AIウェブブラウザは、本物のユーザーコマンドと偽のユーザーコマンドを区別することができない。
Braveのエンジニアたちは、PerplexityのCometを実験的に利用し、プロンプトインジェクションへの反応をテストしました。Cometはスクリーンショット内に隠された目に見えないテキストを処理することが分かりました。このアプローチにより、攻撃者はブラウジングツールを制御し、ユーザーデータを容易にtrac
Braveのエンジニアは、これらの脆弱性を「AI搭載ブラウザのカテゴリ全体が直面している体系的な課題」と呼んだ。
迅速な注射は修正が難しい
セキュリティ研究者やエンジニアは、プロンプトインジェクションの修正は難しいと述べています。これは、人工知能モデルが指示の出所を理解できないためです。本物のプロンプトと偽のプロンプトを区別できないのです。.
従来のソフトウェアは安全な入力と悪意のあるコードを区別できますが、大規模言語モデル(LLM)ではそれが困難です。LLMは、ユーザーリクエスト、ウェブサイトのテキスト、さらには隠されたデータまで、あらゆるものを処理し、それらを一つの大きな会話として扱います。
だからこそ、プロンプトインジェクションは危険なのです。ハッカーは、一見安全そうなコンテンツの中に偽の指示を簡単に隠し、機密情報を盗むことができます。.
AI企業は迅速な注入が深刻な脅威であることを認めている
Perplexity社述べています。同社は、プロンプトインジェクション攻撃を阻止するために、Cometブラウザに複数の防御層を構築しました。Cometブラウザは、脅威をリアルタイムで検知する機械学習モデルを使用し、AIがユーザーの意図に集中し続けるためのガードレールプロンプトを統合しています。さらに、メールの送信や商品の購入といった機密性の高い操作を行う際には、ユーザーの確認を必須としています。
セキュリティ研究者は、 AI搭載ブラウザは、大幅な改善が実施されるまでは、機密性の高いアカウントや個人データを扱うには適さないと考えています。ユーザーはAI搭載ウェブブラウザを引き続き利用できますが、ツールへのアクセスは制限され、自動アクションは無効化されているため、銀行口座、メール、ヘルスケアアプリにログインしているときは使用を避けるべきです。
OpenAI の最高情報セキュリティ責任者 (CISO) である Dane Stuckey 氏は、プロンプト インジェクションの危険性を認め、 書いています。「私たちが非常に慎重に調査し、軽減している新たなリスクの 1 つがプロンプト インジェクションです。これは、攻撃者が Web サイト、電子メール、またはその他のソースに悪意のある指示を隠し、エージェントを騙して意図しない動作をさせようとするものです。」
スタッキー氏は、OpenAIの目標は人々が「最も有能で、信頼でき、セキュリティ意識の高い同僚や友人を信頼するのと同じように、ChatGPTエージェントを信頼してブラウザを使ってもらうこと」だと説明した。OpenAIのチームは「その実現に向けて懸命に取り組んでいる」とスタッキー氏は述べた。
