AIブラウザーが企業を危険にさらす

Digineer Station – shutterstock.com

Gartnerのアナリストである Dennis Xu 氏、Evgeny Mirolyubov 氏、John Watts 氏は、サイバーセキュリティ上のリスクから、当面すべてのAIブラウザーを企業環境でブロックするよう強く推奨している。彼らは、すでに特定されているリスクに加え、「非常に新しい技術であるため、今後判明する可能性のあるその他の潜在的リスク」に基づいてこの勧告を行った。

この警告は、AIブラウザーがすでに広く利用されているタイミングで出された。27.7％の組織では、少なくとも1人はAtlasをインストールしているユーザーが存在する。一部の企業では、従業員の最大10％がこのブラウザーを積極的に利用しているという。これは、セキュリティベンダー Cyberhaven の調査によって明らかになった。最も高い受容率が見られたのは、テクノロジー業界（67％）、製薬業界（50％）、金融業界（40％）であり、いずれも高いセキュリティ要件を持つセクターである。

10月21日に市場投入された ChatGPT Atlas は、Cyberhaven によると、7月9日に公開された Perplexity Comet と比べて、企業によって62倍多くダウンロードされたという。Atlas の導入は、AIブラウザー全般への関心も再び高め、同じ週における Comet のダウンロード数は6倍に増加した。

しかし、ChatGPT Atlas のリリース直後から、AIブラウザーがもたらす危険性に対する懸念が高まった。専門家たちは、プロンプトインジェクションを可能にする脆弱性や、データセキュリティに関する問題を指摘している。

機密データが危険にさらされる

こうした懸念の一因は、企業が自社データに対するコントロールを失う可能性があることだ。AIブラウザーが、アクティブなWebコンテンツ、閲覧履歴、開いているタブの内容を分析のためにクラウドへ送信するためである。

たとえば、Perplexity のドキュメント では、「Comet はリクエストに応えるために、Perplexity のサーバーを使用して一部のローカルデータを処理する場合があります。これは、Comet が要求されたページのコンテキスト（たとえばテキストやメール）を読み取り、要求されたタスクを実行することを意味します」と警告している。

これについて Gartner のアナリストである Mirolyubov 氏は次のように説明する。「本質的な問題は、機密データがAIサービスに流出した場合、その損失が取り返しのつかないものであり、追跡もできない可能性があるという点です。企業は失われたデータを二度と取り戻せないかもしれません。」

問題は、ブラウザーがデータをどこへ送信して処理するかだけではない。送信されたデータを「どう扱うか」も重要だ。「高コストなエラーが発生した場合、不正確なトランザクションは責任の所在に関する疑問を投げかけます」と Mirolyubov 氏は述べている。

従来のコントロールでは不十分

AIブラウザーは、Webリソースに認証された状態で、ウェブサイトを自律的にナビゲートし、フォームに入力し、トランザクションを完了することができる。Gartner のアナリストたちは寄稿の中で、これによりAIブラウザーは新たなサイバーセキュリティリスクに対して脆弱になると指摘している。「たとえば、プロンプトインジェクションによって間接的に引き起こされる不正行為です。これには、AIブラウザーがフィッシングサイトへ自律的に誘導されることで、認証情報が流出・悪用されるケースが含まれます。」

「AIブラウザーによって生じる新たなリスクに対して、従来のコントロールメカニズムは不十分であり、対策ソリューションはまだ初期段階にあります」と Mirolyubov 氏は警告する。「ブラウザーとのマルチモーダルなコミュニケーション、特にAIブラウザーへの音声コマンドの検証には大きなギャップがあります。」

ChatGPT Atlas のリリース直後、OpenAI の CISO である Dane Stuckey 氏もすでに、X への投稿 で次のように認めている。「プロンプトインジェクションは依然として未解決のセキュリティ問題です。攻撃者は、ChatGPTエージェントを攻撃に利用する方法を見つけるために、多くの時間とリソースを費やすでしょう。」

発見された脆弱性が未成熟さを浮き彫りに

理論的なリスクにとどまらず、2つの主要なAIブラウザーには具体的なセキュリティホールも発生している。ChatGPT Atlas のリリースから数日後、研究者たちは、同ブラウザーが macOS 上でOAuthトークンを暗号化せず、かつ過度に緩いファイル権限設定で保存していることを発見した。これにより、ユーザーアカウントへの不正アクセスが可能になるおそれがある。この脆弱性は、セキュリティ研究グループ Teamwin によって10月27日に文書化された。

Gartner が調査を完了した10月31日の時点で、OpenAI はまだパッチを公開していなかった。

これとは別に、サイバーセキュリティ企業 LayerX Security は8月、Comet において「CometJacking」と名付けられた脆弱性を発見したと報告している。この脆弱性により、ユーザーデータが攻撃者の管理するサーバーへ転送される可能性があるという。

成熟までの道のりは長い

こうした脆弱性の発見は、AIブラウザー技術の成熟度に対する全般的な懸念を裏付けるものだ。「セキュリティとプライバシーは、後付けではなく、中心的な設計原則とならなければなりません」と Mirolyubov 氏は訴える。AIブラウザーのベンダーは、当初から企業レベルのサイバーセキュリティコントロールを組み込み、データフローやエージェントベースの意思決定について、より高い透明性を提供する必要がある。

Gartner のアナリストは、AI利用を制御する新たなソリューションの開発には、おそらく「数カ月ではなく数年」かかると見ている。「すべてのリスクを排除できる可能性は低く、AIエージェントによる誤った行動は今後も問題であり続けるでしょう。リスク許容度の低い企業は、長期的にAIブラウザーをブロックせざるを得ないかもしれません。」

一方で、より高いリスク許容度を持ち、実験を行いたい企業に対して Gartner は、パイロットプロジェクトを小規模なグループに限定するよう助言している。検証や巻き戻しが容易な、リスクの低いユースケースに取り組むべきだという。「ユーザーは、AIブラウザーがWebリソースとやり取りする際にどのように自律的にナビゲートしているかを、常に注意深く監視しなければなりません。」

さらに同社は、当面は既存のネットワークおよびエンドポイントセキュリティコントロールを用いてAIブラウザーのインストールをブロックし、自社のAIポリシーを見直すよう企業に推奨している。これにより、AIブラウザーの広範な利用が禁止されていることを確実にする狙いがある。

「現時点では、多くのサイバーセキュリティチームがAIブラウザーをブロックし、リスクがよりよく理解され、コントロールがより成熟するまで導入を遅らせるという判断を下しています」と Mirolyubov 氏は述べている。(jm)