出典:ImageFlow / Shutterstock
AI企業はブラウザにAI機能を統合し、ソフトウェアエージェントがワークフローを自動化できるようにしていますが、企業のセキュリティチームは自動化の利点と、AIがセキュリティ意識を持たないことによるリスクとのバランスを取る必要があります。セキュリティはほとんど後回しにされていると、Guardio Labsのリサーチ責任者Nati Tal氏は述べています。
主要なAI企業のAIブラウザエージェントは、フィッシングサイトの兆候を確実に検出できませんでした。オンラインセキュリティ企業Guardioの最近の調査によると、偽のWalmartサイトと「Apple Watchを購入して」というリクエストを提示された場合、たとえばPerplexity.aiのCometブラウザは、しばしば商品をカートに追加し、クレジットカード情報を入力し、購入ボタンをクリックしてしまったとのことです。また、別のケースでは、メールにアクセスできるAIブラウザが、メッセージ内に埋め込まれたプロンプトを読み取り、実行してしまうと同社は述べています。
「AI企業は、これらの攻撃に対してより強力なサニテーションとガードレールを設ける必要があります」とTal氏は言います。「彼らが取り組んでいることは知っていますが、現状よりもはるかに優先順位を上げる必要があると考えています。簡単に言えば、これは多くの混乱を引き起こす可能性があります。」
企業は、従業員がフィッシングサイトや危険なメールの特徴を見抜けるように多額の費用と時間をかけてきましたが、AIブラウザやエージェントの広範な導入は、その進歩を大きく後退させる可能性があります。ほぼすべての企業(96%)が来年AIエージェントの利用拡大を望んでいると主張していますが、ビジネス環境におけるAIエージェントによる新たなリスクへの備えができている企業はほとんどありません。たとえば、根本的な問題として、ユーザーがブラウザで行った操作とエージェントが行った操作をどのように区別するかという課題があり、これは非人間ID(NHI)管理を多くのCISOの「必須リスト」の最上位に押し上げています。
全体として、AIエージェントは単に作業をこなすだけでなく、従業員や企業データへの潜在的なセキュリティ脅威を見抜き、ブロックする専門性も必要だと、エンタープライズブラウザソリューションMenlo Securityのチーフセキュリティアーキテクト、Lionel Litty氏は述べています。
「AIエージェントへの攻撃は絶え間なく続いています。彼らは騙されやすく、従順です」と彼は言います。「敵対的な環境、つまりAIエージェントが信頼できない入力にさらされる場面では、これは爆発的な組み合わせです。残念ながら、2025年のウェブはまさに敵対的な環境です。」
問題の多いフリーエージェント
「エージェント」モードを持つほとんどのブラウザは、実際にはユーザーになりすまして他のサービスで操作を行っているわけではありません。たとえばChatGPTのエージェントモードは、ブラウジングやボタンのクリック、タブのオープン、一部サービスへの接続はできますが、ユーザーのクッキーやコンテキストにはアクセスできないとGuard.ioのTal氏は言います。一方、PerplexityのCometはユーザーのブラウザコンテキスト内で動作し、クッキーや認証済みセッションにアクセスできるため、エージェントに多くの柔軟性を与える一方で、自滅するリスクも高くなると彼は述べています。
「これはあなたのコンピュータのブラウザ上で動作し、すべてのタブで認証済みセッションにアクセスできます。[そして]セキュリティガードレールがないため、ユーザーに直接危害を加える可能性があります」と彼は言い、「本当の問題は、LLMへの入力がテキストであり、コマンドと与えたコンテキストを本質的に区別できないことです」と付け加えています。
その結果、企業が従業員のセキュリティ意識向上に頭を悩ませている一方で、ブラウザベースのエージェントはその訓練の多くを無駄にしてしまう可能性があります。一部のエージェントはユーザーの監督なしで操作を行いますが、より一般的なシナリオは、エージェントが悪質なURLやフィッシング攻撃に騙され、そのコンテキストをユーザーに提示できず、ユーザーが異常に気づくための多くのセキュリティシグナルを失わせてしまうことだと、サイバーセキュリティ監視・ログ管理企業ExabeamのチーフAI&プロダクトオフィサー、Steve Wilson氏は述べています。
「これらのエージェントは、心配しなければならない新たなインサイダー脅威のクラスになりつつあります」と彼は言います。「以前は悪意のあるインサイダー、たとえば報酬を受け取っていたり会社に不満を持っていたり、あるいはアカウントが乗っ取られたインサイダーについて話していました。…しかし、これらのAIエージェントの場合、突然、私はエージェントのアラインメントや、正しく機能しているか、ハッカーに乗っ取られていないかを心配しなければならなくなりました。」
Guardioの攻撃はプロンプトインジェクションに大きく依存しており、これはOWASPのLLMおよび生成AI向け脅威トップ10リストの第1位の脅威だと、そのプロジェクトの共同リーダーであるWilson氏は述べています。
企業は「信頼して検証」から「疑い、二重に検証」へと方針転換すべきであり、AIエージェントが常にワークフローを正しく完了できると示すまで自動化を制限すべきだと、エンタープライズブラウザ企業Islandの副社長兼フィールドCTO、Michael Leland氏は述べています。脆弱な(壊れやすい)自動化ワークフローは、脅威アクターの格好の標的になると彼は言います。
「AIツールにコントロールを委任するたびに新たな信頼境界を作っていることを忘れないでください。そして今や、攻撃者もそれを悪用しようと狙っています」とLeland氏は述べ、「ここでも同じリスクがあります。AIがアクセスすべきでないデータに話しかける不適切な利用だけでなく、敵対的なアクターが会話のピアノードになろうとし、情報の持ち出しやLLMの汚染など、信頼を損なうあらゆる手法が使われる可能性があるのです」と付け加えています。
AI企業がセキュリティを解決することに期待しないで
欠陥のあるAIの動作、いわゆる「幻覚(ハルシネーション)」は依然として大きな問題であり、セキュリティはそれにさらに層を重ねるものです。残念ながら、現在市場シェアを競い合っているAI企業が、より多くの機能開発を一時停止してセキュリティ向上に取り組むことを、ユーザーは期待できないとGuardioのTal氏は述べています。
その代わり、企業はAIエージェント開発者がより高い可視性、制御、セキュリティを提供するまで、信頼性が求められるビジネスプロセスにAIエージェントを導入するのを控えるべきだと彼は言います。ただし、技術の調査や試験運用は続け、厳格なガードレールを設けるべきです。
「私たちは、エージェントに自由に好きなことをさせられるようになるまで、まだ長い道のりがあると考えています」と彼は言います。「技術を受け入れ、学び、使うことは正しい道ですが、その限界を知り、今は注意深く見守るべきです。」
AIのセキュリティを確保するには、企業の従業員によるすべてのAI利用を可視化する必要があります。AIをエージェントベースのワークフローに導入しようとする企業は、包括的な戦略に注力すべきだとExabeamのWilson氏は述べています。クラウドアクセスセキュリティブローカー(CASB)やその他のサービス監視手法を通じて、まず従業員が利用しているすべてのAIサービスを棚卸しする必要があります。その結果に基づき、ビジネスおよびセキュリティリーダーはAI利用ポリシーと承認済みツールのリストを作成すべきです。最後に、利用状況を監視し、ポリシーを徹底し、従業員にAIサービスとの安全なやり取り方法を教育する必要があります。
「従業員はAIの安全性の基本と、これらのボットに情報や権限を与えて自分の代わりに何かをさせることの意味を理解する必要があります」と彼は言います。「これらのエージェントのほとんどは独立した存在ではありません。基本的には、あなたが認証情報を与えて代理で行動させることで、あなた自身の延長のように見えているのです。」