OpenAIのChatGPT AtlasやPerplexityのCometなど、新たなAIブラウザが注目を集めている。AIエージェントがユーザーに代わりウェブ上のタスクを実行する画期的な機能を持つ。しかし、その利便性の裏には、従来のブラウザにはない深刻な情報漏洩リスクやセキュリティ上の課題が潜む。特に「プロンプトインジェクション攻撃」はAIブラウザ固有の脅威だ。利用者はその仕組みを理解し、安全な使い方を徹底する必要がある。
AIブラウザがもたらす革新と潜在的危険性
OpenAIは2025年10月21日にChatGPT Atlasを、Perplexityは2025年7月9日にCometを発表した。これらAIブラウザは、従来のブラウザの役割を一新する可能性を秘める。ウェブ上の情報を収集したり、フォームに入力したりといったタスクをAIエージェントが自動で実行する。
このAIブラウザはユーザーの作業効率を飛躍的に向上させる「AIブラウザ」として期待される。しかし、その革新的な機能と引き換えに、新たなセキュリティリスクが浮上している。ユーザーのプライバシー保護が大きな課題として認識され、業界全体でその対処法が模索されている状況だ。
なぜ危険?AIブラウザ特有の情報漏洩リスク
サイバーセキュリティ専門家は、AIブラウザエージェントが従来のブラウザよりユーザープライバシーに大きなリスクをもたらすと警鐘を鳴らす。これらのツールは、その有用性を最大化するため、メール、カレンダー、連絡先など、ユーザーの機密情報への広範なアクセス権を要求する。
TechCrunchの調査でも、AIブラウザは簡単なタスクには一定の有用性を示した。しかし、複雑なタスクへの対応にはまだ時間がかかる場合も多い。多大なアクセス権を与えることで、その恩恵がリスクを上回るかどうか、ユーザーは慎重に判断すべきである。AIブラウザ特有の「情報漏洩リスク」への理解が不可欠だ。
脅威の核心:プロンプトインジェクション攻撃とは
AIブラウザエージェントにおける最大の懸念は「プロンプトインジェクション攻撃」と呼ばれる脆弱性である。これは、ウェブページに隠された悪意のある命令がAIエージェントを欺き、攻撃者の指示を実行させてしまう手口だ。これにより、AIブラウザが危険な存在となる。
十分な防御策がない場合、この攻撃によってユーザーのメールやログイン情報が意図せず漏洩する恐れがある。また、ユーザーに代わって不本意な購入やSNSへの投稿が行われる可能性も指摘される。プロンプトインジェクションは近年AIエージェントの登場とともに顕在化した脅威であり、確実な解決策はまだ見つかっていない。
プライバシー重視のブラウザ企業Braveは、2025年10月下旬の研究で、間接的なプロンプトインジェクション攻撃が「AI搭載ブラウザカテゴリ全体が直面する構造的課題」だと結論付けた。これはPerplexity Cometで以前特定された問題が、より広範な業界問題であることを示唆している。
開発元が講じる対策と残された課題
AIブラウザ開発元もセキュリティ課題を認識し、対策を講じている。OpenAIの最高情報セキュリティ責任者デーン・スタッキー氏は、2025年10月22日にX(旧Twitter)上で、プロンプトインジェクションが「未解決のセキュリティ問題」であると認めた。Perplexityも公式ブログで、セキュリティの「根本からの再考」が必要だと表明している。
OpenAIは、エージェントがユーザーアカウントにログインせずにウェブを閲覧する「ログアウトモード」を導入し、データアクセスを制限した。Perplexityも、プロンプトインジェクション攻撃をリアルタイムで検知するシステムを構築したという。
しかし、これらの取り組みは完全な防御を保証するものではない。オンラインセキュリティ企業McAfeeのCTO、スティーブ・グロープマン氏は、大規模言語モデルが命令元を正確に理解できないことが根本原因だと指摘する。これは「いたちごっこ」であり、防御と攻撃の手法が常に進化し続けると述べる。
初期のプロンプトインジェクションは、ウェブページ内の隠しテキストによるものだった。しかし現在では、隠しデータ表現を含む画像を利用するなど、より巧妙な手法に進化しているのが現状だ。
AIブラウザを安全に使うためのユーザー実践術
AIブラウザを安全に利用するためには、ユーザー自身の対策が極めて重要になる。セキュリティ意識向上トレーニング企業SocialProof SecurityのCEO、レイチェル・トバック氏は、AIブラウザのアカウントに独自のパスワードを設定し、多要素認証(MFA)を必ず有効にするよう推奨する。
初期バージョンのChatGPT AtlasやCometに与えるアクセス権限は最小限に留めるべきだ。銀行や医療情報など、機密性の高い情報を含むアカウントとは分離し、AIブラウザへのアクセスを制限することが賢明である。AIブラウザの「情報漏洩リスク」を減らす上で、この措置は特に重要となる。
AIブラウザのセキュリティは、今後の製品成熟に伴い改善されると見込まれる。そのため、現時点では広範な制御を与える前に、ツールの安全性が十分に確立されるまで様子を見ることも推奨される。焦らず、段階的に利用範囲を広げる姿勢がAIブラウザの安全な使い方には不可欠だ。
参考リンク
- OpenAI Launches an AI-Powered Browser, ChatGPT Atlas | TechCrunch
- Perplexity Launches Comet, an AI-Powered Web Browser | TechCrunch
- Can Language Models Really Be Protected From Text-Based Attacks? | TechCrunch
- Brave社が発表した「Unseeable Prompt Injections」に関するブログ
- Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet | Brave Blog
- OpenAI CISO デーン・スタッキー氏のX(旧Twitter)投稿
- Mitigating Prompt Injection in Comet | Perplexity Blog
- Experts Warn OpenAI’s ChatGPT Atlas Has Security Flaws | Fortune
- The Glaring Security Risks With AI Browser Agents | TechCrunch
