AIエージェントがブラウザセキュリティの進歩を損なう

出典：Shutterstock経由 CoreRock

ブラウザのセキュリティは決して完璧ではないが、技術者やサイバーセキュリティ研究者は、概ね機能するセキュリティモデルを構築してきた。しかし、人工知能エージェントは操作されることで、そうした進歩をすべて無にしかねない。

エージェント型ブラウザは、重要なセキュリティ上の弱点――不十分な分離――を抱えている。先週、サイバーセキュリティ研究コンサルティング企業Trail of Bitsが公表した研究によれば、現在のエージェント型ブラウザはエージェントをユーザーの代理として扱い、エージェントが既知で権限を持つユーザーであるかのように、異なるタブ間、さらにはローカルシステムにまでまたがって動けるようにしている。

反射型クロスサイトスクリプティングを用いれば、攻撃者はAIエージェントのコンテキストを改変し、要するに「何を信じるか」を変えられる。データ流出（エクスフィルトレーション）を用いれば、攻撃者はAIエージェントを説得してローカル情報を取り出し、攻撃者が管理するサーバーへ送信させることができる。

こうした攻撃は現行ブラウザでは排除されている――少なくともはるかに困難になっている――が、エージェント型ブラウザはそのセキュリティ上の進歩を後退させてしまう、とTrail of BitsでアプリケーションセキュリティおよびAI/MLのエンジニアリングディレクターを務めるKeith Hoodletは述べる。

「同一オリジンポリシーは、ブラウザで現在開いている他サイトのデータを読み取ることを防いでくれる。しかし今――2026年になって――AIを再び組み込むことで、その保護の多くが台無しになっている」と彼は言う。「人間のように行動できるアプリケーションができると、その行動はある意味で人間が行っているかのように記録され、新たな課題に世界が開かれてしまう。」

全体として、通常のブラウザのセキュリティは向上してきた。セキュアブラウザ技術は、特に新型コロナウイルスのパンデミックが企業にリモートワーカーの急速な拡大を迫った中で、企業向けの保護をさらに強化してきた。しかし、昨年エージェント型ブラウザが登場し始めると、サイバーセキュリティ企業はすぐに、それらが非エージェント型の兄弟分が備える保護を欠いていることを突き止めた。

プロンプトインジェクション攻撃でコマンドを埋め込む手法は、Webページ、文書、メールにAIエージェント向けの命令を埋め込み、ブラウザを狙う攻撃の大半の基盤となっている。

データとコードの境界が曖昧に

攻撃の一例として、メールで送られた多要素認証トークンが流出させられ、プロンプトインジェクション攻撃を用いて攻撃者に送信され、アカウント乗っ取りの完了に使われ得る、とTrail of Bitsの研究は述べている。この研究では、情報やコードを共有するGitHubの仕組みであるgistsを用いて、プロンプトに追加の指示を注入し、AIエージェントの制御を奪って攻撃者の代わりに行動するよう説得した。最も深刻な攻撃の一つは、ユーザーがログインしているWebサイトからデータを奪い取れるデータ流出攻撃で、クロスサイトリソースフォージェリ（XSRF）攻撃に似ている。

「結局のところデータ流出は、多くの人が裏側で起きていることを理解できない類のもので、最悪の結果につながりやすい」とTrail of BitsのHoodletは言う。「それは、規模の大きいユーザーに対して、さまざまな二次的影響を引き起こす可能性が高い。」

他社も同様の欠陥を見つけている。11月には、ブラウザセキュリティ企業SquareXがPerplexityのCometブラウザにおける重大な脆弱性を発見した。それは、組み込みのモデル・コンテキスト・プロトコル（MCP）サーバーがローカルデータやファイルにアクセスできてしまうものだった。また、20の一般的な悪用シナリオを用いてエージェント型ブラウザをテストしたところ、プライバシー重視のボット検知サービスhCaptchaの研究者は、ほぼすべてのエージェントが悪意あるリクエストを試みたことを確認した。

hCaptchaの研究者は、無許可のアカウント操作、セッションの乗っ取り、データ流出を、しばしば最小限または不要なジェイルブレイクで実行できた。多くの場合、エージェントが失敗したのはマルウェア対策防御のためではなく、ユーザーが求めたことを実行するためのツールが不足していたためだった。中には、SQLインジェクションやJavaScriptインジェクションなど、明示的な要求があると悪意ある活動を試みたものもあったと、同社は10月の分析で述べている。

エージェント型ブラウザのメーカーは、これまで基本的な安全策すら導入できていない、とhCaptchaでエンタープライズ担当ゼネラルマネージャーを務めるShawn Wolffarthは言う。

「彼らは何をすべきかをよく分かっている」と彼は言う。「私たちは一部の企業に詳細な提案をしてきたが、実質的な変化は見られない。安全性に開発時間を割くとスピードが落ち、この新市場で競合に勝たれてしまうと考えているようだ。」

もう一つの大きな問題は、攻撃者がエージェント型ブラウザを狙うと脆弱性を悪用できる可能性が高いことだ。多くのブラウザがChromiumオープンソースブラウザコードの古いバージョンを使っているためだと、Trail of BitsのHoodletは言う。つまり攻撃者は、悪用のためにゼロデイ脆弱性を見つける必要すらなく、nデイエクスプロイトでも十分に成功し得る。

解決不能な問題なのか？

AI企業には難題が山積している。エージェント型ブラウザは非人間のエージェントを用い、データとコマンドの双方を自然言語でやり取りするため、異なる機能を分離する方法を見つけ、ガードレールを確立しても、完全なセキュリティには決して到達しないかもしれない、とHoodletは言う。

「大規模言語モデル（LLM）が動作する仕組み、構築のされ方、そして働き方を考えると、プロンプトインジェクションは恒久的に存在し続けると思う」と彼は言う。企業は「プロンプトインジェクションは常にリスクであると理解するところから始め、[その]リスクを前提に設計しなければならない」と付け加えた。

エージェント型ブラウザの利用を意図する企業は注意が必要だ。組織は、インターネットからの信頼できないコードを実行するあらゆるツールと同様に、エージェント型ブラウザの周囲に保護を施す必要がある、とhCaptchaのWolffarthは言う。

「エージェント型ブラウザは慎重にサンドボックス化し、適用範囲を制限する必要がある」と彼は言う。「機密性の高い社内データにアクセスできるのであれば、同時にインターネット上の任意のサイトへ到達できてはならない。」

hCaptchaは研究の中で、各リクエストが同社のサーバーを経由する一方で、悪意あるリクエスト、AIエージェントが扱うべきでない機微なデータ、またはセキュリティを破る行為を検知する能力がないため、これらのツールは作り手に法的責任リスクをもたらす可能性が高いとも指摘した。

「これらの基本的な制御が実装され検証されるまでは、これらのエージェントに実ユーザーのセッションを任せるべきではなく、世界にとって有益であるどころか害をもたらす可能性が高い」と同社は分析で述べた。