エージェント型AIブラウザを調査した研究によると、これらの新興ツールは、悪意のあるページやプロンプトとやり取りさせる新旧の手口に対して脆弱であることが判明しました。
エージェント型AIブラウザは、自律的にウェブを閲覧したり、買い物をしたり、さまざまなオンラインタスク(メールの処理、チケットの予約、フォームの記入、アカウントの管理など)をこなすことができます。
PerplexityのCometは、現在エージェント型AIブラウザの代表的な例です。Microsoft EdgeもCopilotとの統合によりエージェント型ブラウジング機能を組み込んでおり、OpenAIも‘Aura’というコードネームの独自プラットフォームを開発中です。
これらのツールは現在、主に技術愛好家やアーリーアダプター向けに提供されていますが、Cometは急速に一般消費者市場にも浸透しつつあります。
主にCometに焦点を当てた調査によると、これらのツールは、既知および新たに考案された攻撃に対する十分なセキュリティ対策が施されないままリリースされていることが分かりました。
オンラインの脅威(個人情報の盗難、フィッシング、マルウェアなど)から守るブラウザ拡張機能の開発元であるGuardioのテストでは、エージェント型AIブラウザがフィッシング、プロンプトインジェクション、偽ショップでの購入などに対して脆弱であることが明らかになりました。
あるテストでは、GuardioはCometに対して、Lovableサービスを使って研究者が作成した偽のWalmartサイトでApple Watchを購入するよう指示しました。
実験ではCometが偽ショップに誘導されましたが、実際のシナリオでもAIエージェントはSEOポイズニングや悪意のある広告を通じて同じ状況に陥る可能性があります。
モデルはサイトの正当性を確認することなくスキャンし、チェックアウトまで進み、クレジットカードや住所の情報を自動入力し、人間の確認を求めることなく購入を完了しました。
出典:Guardio Labs
2つ目のテストでは、GuardioはProtonMailアドレスから送信された偽のWells Fargoメールを作成し、実際に稼働しているフィッシングページへのリンクを含めました。
Cometはこの受信メールを銀行からの正規の指示として扱い、フィッシングリンクをクリックし、偽のWells Fargoログインページを読み込み、ユーザーに認証情報の入力を促しました。
出典:Guardio Labs
最後に、Guardioはプロンプトインジェクションのシナリオをテストしました。これは、AIエージェント向けの指示をソースコード内に隠した偽のCAPTCHAページを利用したものです。
Cometは隠された指示を有効なコマンドとして解釈し、「CAPTCHA」ボタンをクリックし、悪意のあるファイルのダウンロードを引き起こしました。
出典:Guardio Labs
Guardioは、彼らのテストはエージェント型AIブラウザの登場によって生じるセキュリティの複雑さのほんの一部に過ぎず、新たな脅威が従来の人間中心の攻撃モデルに取って代わることが予想されると強調しています。
「AI対AIの時代では、詐欺師は何百万人もの異なる人々を騙す必要はありません。たった1つのAIモデルを突破すればよいのです」とGuardioは述べています。
「一度成功すれば、同じ手口を無限に拡大できます。そして、同じモデルにアクセスできるため、詐欺師は自分たちの悪意あるAIを被害者のAIに対して“訓練”し、詐欺が完璧に機能するまで繰り返すことができるのです。」
エージェント型AIブラウザのセキュリティ面が一定の成熟度に達するまでは、銀行取引やショッピング、メールアカウントへのアクセスなどの機密性の高いタスクを任せるべきではありません。
また、ユーザーはAIエージェントに認証情報や金融情報、個人情報を渡すのを避け、必要な場合は手動で入力することで最終確認のステップとすることが推奨されます。
