出典: Tony Hobbs via Alamy Stock Photo
革新的なプロンプトインジェクション攻撃は、ブラウザ拡張機能だけを使ってあなたのデータを盗むことができます。
ブラウザセキュリティベンダーのLayerXは、本日公開した調査で、AIツールのブラウザインスタンスがWebブラウザ自体とどのように連携するかに存在する「弱点」を利用した攻撃について解説しています。「man in the prompt(プロンプト内の男)」と呼ばれるこのエクスプロイトは、多くの生成AI/LLM搭載ツールでは入力フィールドがページのDocument Object Model(DOM)の一部であるという事実に依存しています。DOMはWebブラウザがドキュメントをレンダリングするために使うAPIです。
LayerXによると、ブラウザ拡張機能はWebブラウザ内で高い権限を持つことができ、またDOMにも依存しているため、「DOMへのスクリプトアクセス権を持つ任意のブラウザ拡張機能は、AIプロンプトを直接読み書きできる」と述べています。ここに攻撃者のチャンスがあります。
「LayerXの調査によれば、特別な権限がなくても、どんなブラウザ拡張機能でも商用および社内LLMのプロンプトにアクセスし、プロンプトを注入してデータを盗み出し、持ち出し、痕跡を消すことができる」と、この調査はDark Readingに独占で共有されました。
これは特定のモデルや製品に関する脆弱性ではありませんが、LayerXはChatGPT、Gemini、Deepseek、Copilot、Claudeなど複数のモデルがこの攻撃の2つのバージョンに対して脆弱であると主張しています。
Man in the Prompt:仕組み
攻撃者は、侵害後にインストールされたブラウザ拡張機能、フィッシングやタイポスクワッティングのようなソーシャルエンジニアリング手法で知らずにインストールされた拡張機能、あるいは既にユーザーがインストールしている拡張機能に攻撃者がアクセス権を購入し、汚染した場合など、複数の方法でこのエクスプロイトを実行できます。
この最後のケースでは、ユーザー側で何らかの操作を行う必要はありません。また、これは突飛なシナリオではなく、Chromeウェブストア(例として挙げると)にはプロンプトの書き込み、読み取り、編集を機能として持つ拡張機能が多数存在します。
攻撃者が脆弱なブラウザ内の拡張機能にアクセスできるようになると、その拡張機能は生成AI(GenAI)ツールと通信し、プロンプトを注入したり読み取ったりできます。ここで最も明白なリスクはデータ漏洩や窃取であり、ツールによっては攻撃者が個人を特定できるデータやフォルダ・ファイルの内容などにアクセスできる可能性があります。
社内LLMは特に危険にさらされています。なぜなら、調査でも指摘されている通り、「しばしば法的文書、社内コミュニケーション、ソースコード、知的財産、財務予測、企業戦略など、非常に機密性の高い独自の組織データで学習または拡張されている」からです。
これらの社内LLMは、セキュリティの観点からも高い信頼を得ており、クエリのガードレールも少なくなっています。
調査では、ChatGPTとGeminiの両方に対する概念実証(PoC)エクスプロイトも含まれています。
前者では、ユーザーが権限なしで侵害された拡張機能をインストールしました。コマンド&コントロール(C2)サーバーが拡張機能にクエリを送り、拡張機能はバックグラウンドタブを開いてChatGPTにクエリを送信します。結果は外部ログに持ち出され、拡張機能は関連するチャット履歴を削除します。
後者のGeminiのPoCは、デフォルトでGeminiがGoogle Workspace内でエンドユーザーがアクセスできるすべてのデータ(メール、ドキュメント、連絡先、ユーザーが権限を持つすべての共有ファイルやフォルダなど)にアクセスできるという事実に依存しています。GeminiのWorkspace統合にはGoogleアプリのサイドバーも含まれており、ユーザーが特定の機能を自動化することも可能です。
「新しいGemini統合は、既存のページ上に追加コードとして直接実装されています。これにより、WebアプリケーションのDocument Object Model(DOM)を修正し、直接書き込むことで、アプリケーション内のすべての機能へのコントロールとアクセスが可能になります」とLayerXは調査で述べています。
「LayerXは、この統合の実装方法により、特別な拡張機能権限がなくても、どんなブラウザ拡張機能でもプロンプトとやり取りしたり、プロンプトを注入したりできることを発見しました。その結果、実質的にどんな拡張機能でもGeminiサイドバープロンプトにアクセスし、任意のデータをクエリすることができます」と研究者たちは付け加えています。
リスクと対策
LayerXのCEO兼共同創業者であるOr Eshed氏はDark Readingに対し、「攻撃者がこの攻撃を悪用することに疑いの余地はない」と語っています。「この攻撃の潜在的なユースケースやシナリオは無限です。非常に手軽なターゲットです」と述べています。
しかし、悪用の可能性は高く、従来のセキュリティツールがDOMレベルのやり取りを可視化できない一方で、Orr氏はディフェンダー側では「ブラウザ保護やより安全なAIアプリケーションによって、ブラウザのセキュリティは管理・実現可能である」と説明しています。
LayerXは調査で、防御側はGenAIツール内のDOM操作をリスナーやWebhookで監視し、許可リストではなく行動リスクに基づいてリスクの高い拡張機能をブロックすべきだと述べています。組織はまた、自社環境内の拡張機能とその権限を定期的に監査することも推奨されています。