2025年12月18日、AnthropicはClaudeのChrome拡張機能のベータ版をリリースしました。これは、AIがブラウジングし、あなたに代わってWebサイトとやり取りできるツールです。便利である一方、Zenity Labsによる新たな分析では、従来のWeb保護では想定されていなかった深刻なセキュリティリスク一式を持ち込むことが示されています。
「人間のみ」を前提としたセキュリティモデルの崩壊
Webセキュリティは、基本的に画面の向こうに人がいることを前提としてきました。メールや銀行にログインすると、ブラウザはクリックやキーストロークをあなたの操作として扱います。ところが今では、Claudeのようなツールが、あなたの代わりにクリックし、入力し、サイト内を移動できるようになっています。
研究者のRaul Klugman-Onitza氏とJoão Donato氏は、指摘として、拡張機能が常時ログイン状態のままで、無効化する手段がないと述べています。つまりClaudeは、Google DriveやSlackなどのプライベートなツールへのアクセスを含むあなたのデジタルIDを引き継ぎ、あなたの入力なしに行動できてしまいます。
AIリスクの「致命的な三重苦」
Zenity Labsの技術的なブログ記事によると、同社は重なり合う3つの懸念を指摘しています。AIが個人データにアクセスできること、そのデータに基づいて行動できること、そしてWeb上のコンテンツから影響を受け得ることです。
これにより、間接プロンプトインジェクションのような攻撃が可能になります。これは悪意ある指示をWebページや画像に隠す手口です。AIはあなたの認証情報を使うため、受信箱やファイルの削除、あるいはあなたが知らないうちに社内メッセージを送信するといった有害な操作を実行し得ます。攻撃者はまた、SlackやJiraなどのサービスに対するAIのアクセス権を乗っ取り、企業内で横展開(ラテラルムーブメント)することも可能です。
技術テストでは、研究者らはClaudeがWebリクエストやコンソールログを読み取れることを示し、OAuthトークンのような機微なデータが露出し得るとしました。さらに、ClaudeをだましてJavaScriptを実行させる方法も実証し、チームはこれを「XSS-as-a-service」と呼びました。
なぜ安全スイッチだけでは不十分なのか
Anthropicは「Ask before acting(実行前に確認)」という安全スイッチを搭載しており、AIが次のステップを踏む前にユーザーが計画を承認する必要があります。しかしZenity Labsの研究者は、これを「ソフトなガードレール」だと結論づけました。あるテストでは、承認された計画に含まれていないにもかかわらず、Claudeが最終的にWikipediaへアクセスしてしまったことが観測されました。これは、AIが時に経路から逸脱し得ることを示唆しています。
研究者らはまた、ユーザーが「OK」をクリックすることに慣れすぎて、AIが実際に何をしているのか確認しなくなる「承認疲れ」についても警告しました。現実の組織にとって、これはSF的な心配事にとどまりません。データを守る方法そのものを根本から変えなければならないということです。
翻訳元: https://hackread.com/data-exposure-risk-claude-chrome-extension/
