サイバーセキュリティ企業LayerXの研究者たちは、複数のエージェント型ブラウザが操作によって安全ガードレールを放棄させられ、悪意ある行動を実行させられる恐れがあると警告しています。
この脆弱性を実証するため、研究者たちはAIブラウザに解かせるパズルを含むウェブページを作成しました。ビデオゲーム「BioShock」から着想を得たこのパズルは、「BioShocking」と呼ばれる操作攻撃につながります。
ゲームのルールでは誤った行動も許容されるとされており、テスト対象となったエージェント型ブラウザ(ChatGPT Atlas、Comet、Fellou、Genspark Browser、Sigma Browser、Claude Chrome)は、そのことをすぐに学習してしまいました。
誤った回答こそがゲームを続ける鍵だと学習した後、エージェントたちは現実離れした推論を始め、最終的にはURLへ移動してテキストボックスを取得するよう指示された際に、悪意ある行動を実行してしまいました。
「このゲームでは、/codeが被害者の勤務先企業のGitHubリポジトリにリダイレクトされることが判明しました。このケースでは、悪意ある指示によって機密のSSHログイン認証情報が取得されました」とLayerXは説明しています。
制御されたテスト環境ではこのファイルは無害でしたが、この攻撃手法は実際のシナリオで悪用されれば、他のタブ、認証済みリポジトリ、社内ツールなど、ブラウザセッション内のあらゆる場所へエージェントを誘導しかねません。
ゲームに勝利することはユーザーの認証情報を窃取することを意味しますが、AIブラウザはその行動を悪意あるものとは認識せず、むしろ勝利を祝ってしまいます。
「BioShockingの根本原因は、AIブラウザが特定の文脈の中で行動する一方、その文脈自体が操作され得るという点にあります。エージェントに『これはゲームだ』と信じ込ませることができれば、現実世界の安全ロジックではなく、ゲームのロジックをあらゆる行動に適用してしまうのです」とLayerXは述べています。
ベンダー側は、機密性の高い操作に確認を求めること、コンテキストチェックを実施すること、エージェントの行動範囲を制限することでこの問題に対処できます。ユーザーは自分のAIブラウザが何を閲覧できるのかを把握し、セッション終了時にはそのアクセス権を取り消すべきです。
LayerXによれば、この発見内容は6社すべてのベンダーに報告されたとのことです。OpenAIは問題を修正し、Anthropicの修正は失敗に終わり、Perplexity AIは報告を無視し、Fellou、Genspark、Sigmabrowser OUの3社からは何の反応もなかったとしています。
詳細はAI Risk Summit | Ritz-Carlton, Half Moon Bayにて

翻訳元: https://www.securityweek.com/bioshocking-attack-tricks-ai-browsers-into-stealing-credentials/