Gartnerは、関連するリスクが適切に管理できるまで、企業がAIブラウザの使用をブロックすることを推奨しています。
アナリスト企業は、新しいレポート「Cybersecurity Must Block AI Browsers for Now」でこの提案を行いました。
- 不正なエージェントを経由した間接的なプロンプトインジェクション
- 「不正確な推論」による誤ったエージェントアクション
- ブラウザがフィッシングサイトへのアクセスを騙された場合の認証情報の喪失と悪用
- 従業員がAIブラウザに代わりにセッションを完了するよう指示してサイバーセキュリティトレーニングを回避する
- エージェントが高額だが誤った企業購入を行う(例:間違ったフライトを予約する)
- AIサービスによって処理されるクラウドへの機密企業データの喪失
「すべてのリスクを排除することは難しい – AIエージェントの誤ったアクションは引き続き懸念事項となる」とレポートは警告しています。
「リスク許容度が低い組織は、長期的にAIブラウザをブロックする必要があるかもしれません。」
AIブラウザについてもっと読む:AIブラウザ拡張機能のリスク管理が必要な理由
研究者の警告
Gartnerの警告 は、企業にAIブラウザを注意深く扱うよう促す一連のレポートの最新のものです。
10月、SquareXの研究は、プロンプトインジェクション、悪意のあるワークフロー、悪意のあるダウンロード、および信頼できるアプリの悪用をPerplexityのCometおよびChatGPTのAtlasのようなブラウザにおける潜在的なアーキテクチャの弱点として指摘しました。
1ヶ月後、Cato Networksが明らかにした 「HashJack」は、ブラウザを操作するために正規のウェブサイトを武器化することができる新しい脆弱性です。攻撃者は、AIブラウザに誤った情報、フィッシングリンク、さらにはユーザーデータの流出を指示するために、悪意のあるコードの断片を実在するウェブサイトのURLに埋め込むだけです。
KnowBe4のリードセキュリティ認識アドボケート、Javvad Malikは、AIブラウザが生産性とセキュリティリスク間のトレードオフを評価することを強制することで、サイバーセキュリティに新しい緊張をもたらしたと主張しました。
「エージェントブラウザはユーザー体験を向上させるための多くの機能を約束していますが、リスクがよく理解されていない初期段階にあり、デフォルト設定は多くのテクノロジーでも見られるセキュリティよりも利便性を優先している」と彼は付け加えました。
「しかし、包括的な禁止は長期的な戦略として持続可能なことはめったにありません。代わりに、焦点はこれらのブラウザを支える特定のAIサービスを評価するリスク評価にあるべきです。これは必要な監視を維持しながら、測定された導入を可能にすることができます。」
組織は、企業のリスク選好に沿って「AIエージェントを評価および保護する」ためのプレイブックを開発すべきであると、彼は結論づけました。
画像クレジット: Samuel Boivin / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/gartner-calls-for-pause-ai-browsers/
