すでに利用が始まっているものの、「不可逆的かつ追跡不能」なデータ損失につながる可能性があるとアナリストは述べている。
Perplexity Comet や OpenAI の ChatGPT Atlas を含む AI ブラウザーは、十分に軽減できないセキュリティリスクをもたらすため、企業は従業員による利用を防ぐべきだと、ガートナーは述べている。
「ガートナーは、サイバーセキュリティ上のリスクから、当面の間すべての AI ブラウザーをブロックすることを強く推奨します」と、アナリストの Dennis Xu 氏、Evgeny Mirolyubov 氏、John Watts 氏は先週のリサーチノートに記した。彼らは、すでに特定しているリスクに加え、「この技術はまだ非常に初期段階であることを踏まえると、今後発見される可能性のあるその他のリスク」に基づいて、この推奨を行ったという。
この警告はタイムリーだ。AI ブラウザーはすでに企業内で足場を固めつつある。サイバーセキュリティ企業 Cyberhaven によれば、すでに 27.7% の組織で少なくとも 1 人のユーザーが Atlas をインストールしており、一部の企業では従業員の最大 10% がこのブラウザーを積極的に利用しているという。同社は、導入率が最も高いのはテクノロジー業界(67%)、製薬(50%)、金融(40%)であり、いずれもセキュリティ要件が高い分野だと指摘している。
Cyberhaven によれば、10 月 21 日にローンチされた ChatGPT Atlas は、7 月 9 日にリリースされた Perplexity Comet と比べて、企業からのダウンロード数が 62 倍に達したという。Atlas の登場は AI ブラウザー全体への関心も再燃させ、同じ週に Comet のダウンロード数は 6 倍に急増した。
しかし、ChatGPT Atlas のローンチ直後から、AI ブラウザーがもたらす脅威について懸念が提起され、アナリストはプロンプトインジェクションの脆弱性やデータセキュリティ上の問題を指摘していた。
機密データが危険にさらされる
AI ブラウザーが懸念される理由は、アクティブな Web コンテンツ、閲覧履歴、開いているタブの内容を解析のためにクラウドへ送信することで、企業が自社データの管理権を失ってしまう点にある。
たとえば、Perplexity のドキュメントでは、「Comet は、クエリに応答するために Perplexity のサーバーを使用して一部のローカルデータを処理する場合があります。これは、要求されたページ上のコンテキスト(テキストやメールなど)を Comet が読み取り、要求されたタスクを実行することを意味します」と警告している。
ガートナーのシニアディレクターアナリストである Mirolyubov 氏は、「本当の問題は、AI サービスへの機密データの流出が、不可逆的かつ追跡不能になり得ることです。組織は、一度失われたデータを取り戻せない可能性があります」と述べた。
懸念されるのは、ブラウザーがデータをどこへ送るかだけではなく、その結果として何を行うかでもある。「誤ったエージェント取引は、高額なミスが発生した場合の説明責任の問題を引き起こします」と同氏は語った。
従来型のコントロールでは不十分
AI ブラウザーは、Web リソースに認証された状態で、自律的に Web サイトをナビゲートし、フォームに入力し、トランザクションを完了することができる。彼と同僚がレポートに記したように、これにより AI ブラウザーは新たなサイバーセキュリティリスクにさらされる。「たとえば、間接的なプロンプトインジェクションによって誘発される不正なエージェント行動、不正確な推論に起因する誤ったエージェント行動、そして AI ブラウザーがフィッシングサイトへ自律的に誘導されてしまった場合の、さらなる認証情報の漏えいと悪用などだ。」
「AI ブラウザーがもたらす新たなリスクに対して、従来型のコントロールは不十分であり、ソリューションはようやく出始めた段階です」と Mirolyubov 氏は述べた。「ブラウザーとのマルチモーダルな通信、特に AI ブラウザーへの音声コマンドを検査する点で、大きなギャップが存在します。」
プロンプトインジェクションは依然として大きな懸念事項であると、OpenAI の CISO である Dane Stuckey 氏も、ChatGPT Atlas のローンチ翌日に X(旧 Twitter)への投稿で認めている。「プロンプトインジェクションは、いまだ解決されていない最前線のセキュリティ問題であり、敵対者たちは ChatGPT エージェントをこれらの攻撃に引っかからせる方法を見つけるために、多大な時間とリソースを費やすでしょう。」
発見された脆弱性が未成熟さを浮き彫りに
理論上のリスクにとどまらず、主要な 2 つの AI ブラウザーには具体的なセキュリティ欠陥も見つかっている。ChatGPT Atlas のローンチから数日後、研究者らは、同ブラウザーが macOS 上で OAuth トークンを暗号化せず、過度に緩いファイル設定で保存していることを発見した。これにより、ユーザーアカウントへの不正アクセスが可能になる恐れがある。この脆弱性は 10 月 27 日にセキュリティ研究グループ Teamwin によって文書化された。
ガートナーがリサーチを完了した 10 月 31 日時点で、OpenAI はまだパッチをリリースしていなかった。
別件として、サイバーセキュリティ企業 LayerX Security は 8 月、Comet において「CometJacking」と呼ばれる脆弱性を発見したと報告している。これは、ユーザーデータを攻撃者が制御するサーバーへ流出させる可能性があるというものだ。
OpenAI と Perplexity は、コメントの要請にすぐには応じなかった。
成熟には「数カ月」ではなく「数年」
これらの脆弱性の発見は、AI ブラウザー技術の成熟度に対するより広範な懸念を浮き彫りにしている。「セキュリティとプライバシーは、後付けではなく中核的な設計原則とならなければなりません」と Mirolyubov 氏は述べた。AI ブラウザーベンダーは、最初からエンタープライズグレードのサイバーセキュリティコントロールを組み込み、データフローやエージェントの意思決定について、より高い透明性を提供する必要があると同氏は言う。
新たに登場している AI 利用制御ソリューションが成熟するまでには、「数カ月ではなく数年」を要する可能性が高いと同氏は述べた。「すべてのリスクを排除することはおそらく不可能であり、AI エージェントによる誤った行動は引き続き懸念事項として残るでしょう。リスク許容度の低い組織は、より長期にわたって AI ブラウザーをブロックする必要があるかもしれません。」
一方で、リスク許容度が高く、試験的に導入したい組織については、低リスクで検証やロールバックが容易なユースケースに取り組む少人数グループにパイロットを限定すべきだと、ガートナーのレポートは述べている。ユーザーは「AI ブラウザーが Web リソースとやり取りする際に、自律的にどのようにナビゲートしているかを常に注意深く監視」しなければならない。
当面は、ガートナーによれば、組織は既存のネットワークおよびエンドポイントセキュリティコントロールを用いて AI ブラウザーのインストールをブロックし、AI ポリシーを見直して、AI ブラウザーの広範な利用が禁止されていることを確認すべきだという。
「現時点では、ほとんどのサイバーセキュリティチームは AI ブラウザーをブロックすることを選択し、リスクがよりよく理解され、コントロールがより成熟するまで導入を先送りにしています」と Mirolyubov 氏は述べた。
