研究者らは、攻撃者がエージェント型AIブラウザを静かに乗っ取ることを可能にする複数の脆弱性を発見しました。
Zenity Labsの研究者らは、Perplexity社のCometを含む複数のAIブラウザに影響を与えたこれらの欠陥を発見しました。パッチが適用される前に、攻撃者は正規のカレンダー招待を通じて、プロンプトインジェクションを使用してAIブラウザをユーザーに対して使用させることができました。
「これらの問題は単一のアプリケーションバグをターゲットにしていません」とZenity Labsのシニアセキュリティ研究者であるStav Cohenは火曜日に公開されたブログで書いています。「これらはAIエージェントの実行モデルと信頼境界を悪用し、攻撃者が制御するコンテンツが接続されたツールとワークフロー全体で自律的な動作をトリガーすることを可能にします。」
プロンプトインジェクションとAIハイジャック攻撃が機能するのは、多くのエージェント型ブラウザがユーザーによって与えられた指示と、ブラウザが取得する外部コンテンツを区別できないためです。基本的に、ブラウザが出会うあらゆるウェブページまたはメールは、適切に言い換えられれば、直接的なプロンプト指示として解釈される可能性があります。
カレンダー招待に悪質なプロンプトをシードすることで、ブラウザはローカルファイルシステムにアクセスし、ディレクトリを閲覧し、ファイルを開いて読み取り、データをサードパーティサーバーに流出させるように指示されることができます。マルウェアや特別なアクセスは必要ありません。ユーザーが招待を受け入れるだけで、ブラウザは「ユーザーが実際に要求したと思われるユーザーが委譲した正当なタスクの一部として各ステップを実行」します。
「Cometは通常の実行モデルに従い、意図した機能の範囲内で動作します」とCohenは書いています。「エージェントは、ユーザーが実際に望んでいるのが攻撃者が望むものであると説得されます。」
潜在的な損害はそこで止まりません。別の脆弱性は、攻撃者が同様の間接的なプロンプト技術を使用してCometがユーザーのパスワードマネージャーを乗っ取ることを可能にしました。ユーザーが既にサービスにサインインしている場合、エージェント型ブラウザは完全なアクセス権も持ち、ユーザーが「無害な」出力を受け取っている間に、設定とパスワードを静かに変更したり、シークレットを抽出したりできます。
Zenityによると、脆弱性は昨年Perplexityに報告され、2026年2月に修正がリリースされました。
プロンプトインジェクション攻撃は、これらの欠陥を完全に排除することは不可能かもしれないため、組織の技術スタックへのAI統合に対する継続的な最大の課題の1つです。OpenAIは12月に、そのような脆弱性はエージェント型ブラウザで「決して」完全には解決される可能性は低いと述べましたが、同社は自動化された攻撃発見、敵対的トレーニング、および新しい「システムレベルのセーフガード」を通じて全体的な危険性を低減できると述べました。OpenAIは:
Cohenは、従来のブラウザでは、ローカルファイルアクセスおよび他の機密タスクは明示的なユーザー許可でのみ取得できると指摘しています。しかし、エージェント型ブラウザは、そのアクセスがユーザーのリクエストを遂行するのに必要であるかどうかを推測し、ユーザー入力なしでアクションを実行する自律性がはるかに高くなっています。研究者らはカレンダー招待を使用して悪質なプロンプトを配信しましたが、同じ技術はほぼあらゆる形式の書かれたコンテンツを通じて展開できます。
「その決定が委譲されると、機密リソースへのアクセスは明示的なユーザーアクションではなく、エージェントの意図の解釈に依存します」と彼は書いています。「その時点で、ユーザーの意図とエージェント実行の分離がセキュリティ上重要な懸念事項になります。」
翻訳元: https://cyberscoop.com/agentic-ai-browsers-allow-hijacking-zenity-labs-comet/
