「BioShocking」と名付けられた新たなプロンプトインジェクション攻撃が、AIを搭載したブラウザをフィクションのシナリオとして危険な実世界の操作を実行させ、安全ガードレールを回避させる可能性があることが明らかになりました。
LayerXの研究者が考案したこの攻撃の概念実証(PoC)は、主要なエージェント型ブラウザ製品6種(ChatGPT Atlas、Comet、Fellou、Genspark Browser、Sigma Browser、ClaudeのChromeプラグイン)に対して検証され、報告を受けた後に対応したのはそのうち1製品のみでした。
BioShockingの仕組み
LayerXは概念実証として、不正解を選ぶと報酬が得られるBioShockをテーマにしたパズルゲームを表示する悪意あるWebページを作成しました。これにより、ブラウザの制御エージェントに「通常のルールは適用されない」と学習させます。
ゲームクリアの最終ステップでは、エージェントはGitHubリポジトリにアクセスし、パスワードなどの機密情報を含むコード内のデータをコピーして共有するよう指示されます。
この検証でLayerXが発見した核心的な問題は、AIエージェントが現実の機密操作と与えられたシナリオを区別できないという点です。
「エージェントはルールを理解し、『不正解』の行動が許容されると学習した瞬間から、現実の制約から切り離されてしまいます」とLayerXは説明しています。
「パズルの最終ステップ——ユーザーの認証情報を窃取するという行為——に際して、6つのエージェントはすべて、それが安全ガードレールに反すると識別できませんでした。」
LayerXのPoCは実際には悪意ある行動を実行していませんが、研究者たちは結果を変えることなく実行可能だと強調しています。
AIベンダーの対応
LayerXは昨年10月にベンダーへ調査結果を報告しましたが、そのうち3社からは返答がありませんでした。
研究者によると、ChatGPT AtlasブラウザにBioShocking対策を有効に実装したのはOpenAIのみでした。
AnthropicはChromeプラグインへの修正を試みましたが、LayerXによるとそのパッチはPoCに対して効果がないとのことです。
Perplexity AIは問題を修正しないまま報告を閉じたと、研究者はレポートの中で指摘しています。
LayerXはベンダーに対し、機密操作に対する明示的なユーザー確認の追加、より強固なコンテキストチェック、エージェントセッションのスコープ制限を推奨しています。
ユーザー側でも、利用しているプラットフォームで提供されているオプションを活用し、AIブラウザの機密サービスへのアクセスを制限することが重要です。
攻撃者より先に、すべての防御層をテストする
セキュリティチームが把握できているのは成功した攻撃のうち54%に過ぎず、アラートが上がるのはわずか14%です。残りの脅威は検知されないまま環境内を移動し続けています。
PicusのホワイトペーパーでBreach and Attack Simulation(BAS)を活用し、SIEMおよびEDRルールをテストして脅威の見落としを防ぐ方法を解説しています。
