- 隠されたURLフラグメントにより、攻撃者はユーザーに気付かれずにAIアシスタントを操作できる
- 一部のAIアシスタントは機密データを自動的に外部エンドポイントへ送信する
- 誤解を招くガイダンスや偽リンクが、通常のウェブサイト上にも現れる可能性がある
多くのAIブラウザが、URL内の単純なフラグメントによってブラウザアシスタントが操作される仕組みを研究者が詳述したことで、精査の目にさらされています。
Cato Networksの新しい研究によると、「HashJack」技術は、正規のリンク内のハッシュタグの後に悪意のある指示を静かに潜ませることができ、従来の監視ツールでは見えない隠密なコマンドの経路を作り出します。
アシスタントは隠されたテキストをローカルで処理するため、サーバーには一切送信されず、ユーザーは通常通りのページを見続ける一方で、ブラウザはユーザーが入力していない指示に従います。
フラグメントが処理された際のアシスタントの挙動
テストでは、特定のアシスタントがこれらのフラグメントにさらされると自律的な行動を試み、攻撃者が管理する外部の場所へデータを送信する行為も含まれていました。
他のアシスタントは誤解を招くガイダンスを提示したり、信頼できる情報源を装ったリンクを推奨したりして、通常のセッションに見せかけながらユーザーへの情報を改ざんします。
ブラウザは正しいサイトを表示し続けるため、アシスタントの応答を注意深く確認しない限り、この侵入を検知するのは困難です。
大手テクノロジー企業にはこの問題が通知されていますが、対応は大きく異なりました。
一部のベンダーはAIブラウザ機能にアップデートを実施しましたが、他は既存の設計論理に基づき想定通りの挙動と判断しました。
企業側は、間接的なプロンプト操作への防御は、各AIアシスタントが隠されたページ指示をどのように読み取るかに依存すると述べています。
通常のトラフィック監視ツールは、デバイスから外部に送信されるURLフラグメントしか観測できません。
したがって、従来のセキュリティ対策では、このシナリオにおいて十分な保護は提供できません。なぜなら、URLフラグメントが検査のためにデバイスの外に出ることがないからです。
このため、防御側はネットワークレベルの監査を超え、AIツールがブラウザ自体とどのように統合されているかを調査する必要があります。
より強力な監視には、ユーザーに見えない隠れたコンテキストをアシスタントがどのように処理するかなど、ローカルでの挙動に注目することが求められます。
組織はより厳格なエンドポイント保護や、より厳密なファイアウォールルールを導入する必要がありますが、これらはあくまで一つの層であり、可視性のギャップを埋めるものではありません。
HashJack手法は、AI支援ブラウジング特有の脆弱性を示しており、正規のウェブサイトが従来の痕跡を残さずに悪用される可能性があります。
この制限を認識することは、AIツールを導入する組織にとって極めて重要です。従来の監視や防御策では、これらの脅威を完全に把握することはできません。
安全を保つために
- オンラインで共有する個人情報を制限する。
- 金融口座で不審な活動がないか監視する。
- すべてのアカウントでユニークかつ複雑なパスワードを使用する。
- ウェブサイトにログインする前にURLを確認する。
- 金融機関を名乗る未承諾のメッセージや電話には注意する。
- デバイスをマルウェアから守るためにウイルス対策ソフトを導入する。
- 不正アクセスを防ぐためにファイアウォールを有効にする。
- 個人情報を監視するために個人情報盗難対策サービスを利用する。
- 高度なフィッシングキャンペーンやAI主導の攻撃が依然としてリスクであることを認識する。
- 効果はデバイスやネットワーク全体で一貫して実施されるかどうかにかかっている。
