eSecurity Planetのコンテンツおよび製品に関する推奨は、編集上の独立性を保っています。パートナーへのリンクをクリックした場合、収益が発生することがあります。 詳細はこちら
AIブラウザはタスクの自動化に役立ちますが、LayerXの新たな調査により、偽の現実を受け入れるよう操作され、セキュリティのガードレールを回避できることが明らかになりました。
研究者たちはこの技術を「BioShocking」と呼んでいます。これはゲーム『BioShock』への言及であり、キャラクターが通常は受け入れないような指示に従うよう条件付けられる場面に由来しています。
主なポイント
- LayerXの研究者がBioShocking技術を発見。AIブラウザに内蔵された安全ガードレールを回避するよう操作する手法
- 概念実証により、AIブラウザが架空のゲームを現実として扱うよう騙され、認証済みセッションから機密データを漏洩させることが可能に
- ChatGPT Atlas、Perplexity Comet、Genspark Browser、Sigma Browser、Fellou、Claude ChromeプラグインをはじめとするエージェントAIツール6種に対して実証に成功
- プロンプトインジェクションとコンテキスト操作により、攻撃者がAIブラウザを通じてメール、コードリポジトリ、パスワードマネージャーなどの認証済みアプリケーションへアクセスできる可能性
- 組織はAIブラウザを特権ソフトウェアとして扱い、アクセス制限・機密操作時のユーザー確認の義務付け・認証セッションの制限が必要
BioShocking技術の仕組み
BioShockingは大まかに言えば、AIブラウザが通常のルールの適用されないゲームや架空の環境内で動作していると信じ込ませることで機能します。
エージェントがその改ざんされたコンテキストを受け入れると、現実世界での行動を機密性の高いものや危険なものとして扱わなくなる可能性があります。
LayerXによると、これにより攻撃者はAIにユーザーデータの露出、コードのコピー、コマンドの実行、あるいは通常であれば拒否すべき形での認証済みシステムとのやり取りを行わせることができるとしています。
LayerXは、ChatGPT Atlas、Perplexity Comet、Fellou、Genspark Browser、Sigma Browser、Claude Chromeプラグインの5つのエージェントブラウザと1つのブラウザベースAIプラグインに対してこの技術を検証しました。
概念実証
概念実証攻撃は、パズルを含む悪意のあるWebページから始まりました。
このパズルは誤った答え(たとえば2+2=5を正解とするなど)に報酬を与えるよう設計されていました。
その誤った論理を繰り返し強化することで、ページはAIエージェントにゲームのルールが現実とは異なるという認識を植え付けました。
エージェントがゲーム環境に適応すると、/codeパスに移動してテキストボックスから情報をコピーするよう指示されました。
LayerXの管理下でのテストでは、このパスはプレーンテキストのSSH認証情報を含む架空の雇用主のGitHubリポジトリにリダイレクトされました。
AIエージェントはゲームを完了する一環として、その認証情報をコピーして共有しました。
GitHubの例よりも重要なのは、その広範な意味合いです。
実際の攻撃では、このリダイレクトがメール、リポジトリ、パスワードマネージャー、クラウドアプリケーションなど、ユーザーのブラウザ内の認証済みリソースをターゲットにする可能性があります。
AIブラウザがユーザーと同じ認証済みセッションにアクセスできる場合、これらのシステムはエージェント的な行動を通じて到達可能になる恐れがあります。
ガードレールが機能しなかった理由
AIシステムには通常、フィッシングメールの作成、認証情報の盗取、システムの侵害支援といった有害な行動を防ぐための安全ガードレールが組み込まれています。
しかし、LayerXの調査結果は、エージェントの動作コンテキストが操作されると、これらのガードレールの有効性が低下する可能性があることを示しています。
AIブラウザは、自身が目にするコンテキストが現実のものであると前提としています。
攻撃者が、通常の結果が伴わない架空のゲームをプレイしていると信じ込ませることができれば、エージェントは危険な指示を無害なゲームプレイとして扱う可能性があります。
BioShockingのテストでは、エージェントはリダイレクトされたページから認証情報をコピーすることが、意図された安全境界を侵害していることを認識しませんでした。
これが重要なのは、エージェント型ブラウザがテキスト生成以上のことを行えるためです。
クリック、ナビゲーション、ページの読み取り、認証済みセッションとのやり取り、そしてユーザーに代わってのアクション実行が可能です。
そのため、プロンプトインジェクションやメモリポイズニングは単なる理論上の問題にとどまらず、実際のデータ漏洩への経路となり得ます。
ベンダーとユーザーへの影響
LayerXはベンダーの対応が区々であったと報告しています。
OpenAIのChatGPT Atlasは2025年10月30日の開示後に修正済みとしてマークされました。PerplexityのCometは2025年10月20日の開示後にクローズまたは無視として記録されています。
Fellou、Genspark Browser、Sigma Browserは2025年10月30日の提出後も応答なしと記録されています。Claude Chromeプラグインは2026年1月26日の開示後にパッチ失敗として記録されています。
ベンダーに対してLayerXは、機密操作に関するより強固な制御を推奨しています。
AIブラウザは、リポジトリ、メールアカウント、パスワードマネージャーなどの認証済みリソースからデータを読み取ったりコピーしたりする前に、明示的なユーザー確認を求めるべきとしています。
また、エージェントはコンテキストの操作、特にルールがもはや適用されないことを示唆する表現を検出できるようにすべきです。
さらに、ベンダーはエージェントがセッション中にデフォルトでアクセスできる範囲を制限すべきです。
ユーザーおよび組織に対しては、より直接的な推奨があります。AIブラウザが閲覧できる情報に細心の注意を払うことです。
エージェント型ブラウザがログイン済みセッションにアクセスできる場合、それらのセッションが攻撃対象領域の一部となる可能性があります。
セキュリティチームは、機密性の高い企業システムへのAIブラウザのアクセス制限、特権アカウントでの使用の限定、そして悪意のあるページが人間だけでなくAIエージェントをターゲットにする可能性についてのユーザー教育を検討すべきです。
まとめ
BioShockingは、エージェント型ブラウザのセキュリティが従来のAI安全ガードレールだけに依存できないことを示しています。
AIブラウザが認証済みセッション内で行動できる場合、操作されたコンテキストが現実世界での情報漏洩につながる可能性があります。
組織がAIを活用したブラウジングツールを導入する際は、アクセス制御・確認プロンプト・厳格なセッション境界を備えた特権ソフトウェアとして扱うべきです。
