Agentic LLMブラウザは日常的なブラウジングを自動化されたAI駆動のワークフローに変えていますが、プロンプトインジェクションとデータ盗難のための強力な新しい攻撃面も露出しています。
AIに完全なセッション、クッキー、権限でブラウザを「操作」させることで、XSSのような古いバグが今や完全なエージェント乗っ取りとクロスサイト侵害にエスカレートします。
2025年中旬に最初のLLM搭載ブラウザが登場して以来、ブラウザは受動的なレンダラーからアクティブなエージェントへとシフトし、ページを読み取り、リンクをクリックし、フォームに入力し、ユーザーに代わってメールを送信するようになりました。
Perplexity Comet、OpenAI Atlas、Edge Copilot、Brave Leoなどの製品は、LLMをブラウジング体験に直接組み込み、自然言語プロンプトをマルチステップワークフローに変えています。
Varonis Threat Labsは主要なエージェンティックブラウザを分析し、それらの内部動作、アーキテクチャ上の違い、および潜在的な攻撃面を理解しました。
この自律性は生産性を向上させますが、エージェントのロジックにおける誤りや侵害があれば、不正なナビゲーションから無言のデータ流出まで、すぐに現実世界に影響を与える可能性があります。
エージェンティックブラウザの構築方法
エージェンティックブラウザはすべてローカル、サンドボックス化されたウェブコンテンツをリモートLLMバックエンドと橋渡ししていますが、アーキテクチャは異なります。
Cometは深く統合されたChromium拡張機能を使用し、強力な権限(DevToolsデバッガーを含む)を持ち、chrome.runtime.sendMessageブリッジを使用することで、perplexity.aiなどのドメインはナビゲーションとコンテンツキャプチャなどのツールを駆動するために呼び出すことができます。
OpenAIのAtlasはネイティブSwiftクライアント(OWLクライアント)を個別のChromiumベースのOWLホストから分離し、信頼されたOpenAIオリジンがブラウザエンジンに構造化コマンドを送信するために使用できるMojo IPCインターフェースを露出させています。
Edge Copilotは特権内部WebUIページ内にcopilot.microsoft.com iframeを埋め込み、window.parent.postMessageを介して通信し、許可リストで保護されていますが、Brave LeoはローカルリソースからそのUIをロードし、要約に焦点を当てており、いくつかのリモートXSS露出を減らしていますが、依然としてAIをライブページコンテンツに結合しています。
このモデルでは、「信頼されたオリジン」(たとえばperplexity.ai、openai.com、またはcopilot.microsoft.com)がAIエージェントの高権限コントロールプレーンになります。
攻撃者がXSS、サブドメイン乗っ取り、DNSスプーフィング、またはバックエンドRCEを通じて信頼されたドメインでコード実行を獲得した場合、LLMの推論レイヤーをバイパスし、特権ブラウザAPIに直接話すことができます。
Cometでは、これはexternally_connectable plus chrome.runtime.sendMessageを悪用して強力なツールを呼び出し、ローカルファイルまたは内部ネットワークリソースを読み取ることさえ意味します;Atlasでは、これはAI保護下のMojo IPCレイヤーを駆動することを意味します;Edge Copilotでは、これは細工されたpostMessageペイロード経由で隠された「シャドウツール」を呼び出すことを意味します。
エージェントはユーザーのクッキーと権限を使用して実行されるため、これらの攻撃は同一オリジンポリシーの境界を破り、クロスタブデータ盗難、強制ナビゲーション、無言のダウンロード、またはメール送信や取引開始などの偽装アクションを可能にします。
プロンプトインジェクションとデータボイド悪用
悪意のある指示がページコンテンツ、メタデータ、またはタイトルに隠されている間接的なプロンプトインジェクションは、LLMブラウザで以下のようにcopilot.microsoft.comの実行コンテキストを使用してgoogle.comに移動するために残る中心的なリスクのままです。
単一のXSSまたはプロンプトインジェクションはもはやただクッキーを盗むだけではなく、常にオン、高権限のオートメーションレイヤーを武装化する可能性があり、クリック、入力、ダウンロード、正当なユーザー認証情報を使用してタブ全体でデータを送信します。
研究は、エージェンティックブラウザがページをまとめたり分析したりするとき、信頼されていないHTMLの大きなチャンクを直接モデルにフィードすることを示していますが、隠されたプロンプトはエージェントに機密サイトを開いたり、データを流出させたり、UIが決して露出させないツールを呼び出すよう指示することができます。
STARTAGENTの一部として、PerplexityバックエンドはまずextensionにJWTを送信して、WebSocket上の後続の通信を有効にします。
データボイド攻撃はさらに大きなリスクを高めます:攻撃者が不可解なトピックの唯一のコンテンツをコントロールしている場合、LLMはその悪意あるページを真実として扱い、自発的にそれの指示に従い、たとえば、ドライブバイダウンロードを引き起こしたり、追加のスクリプト実行をトリガーする武装化されたサイトを「GetContent」経由でロードする可能性があります。
コンテンツインジェクションを超えて、システムプロンプトを露出または推論することで、攻撃者は各ブラウザの内部ルールにペイロードを調整し、フィルターを選択的に回避し、より信頼できる悪用を駆動することができます。
しかし、複数のセキュリティチームからの評価は、現在のガードレールが一貫性がなく、新しい攻撃パターンの後れを取っていることを示しており、AIブラウザをリアルタイムファジングと攻撃的研究の最優先ターゲットとして残しています。
AIブラウザの中核的なパラドックスは、有用であるためにはエージェントが従来のブラウザセキュリティが数十年間を硬化するために働いた非常に分離境界を越えなければならないということです。
機密文書へのアクセス、異常なファイル読み取り、または異常なアウトバウンド接続など、多くの影響はブラウザ自体ではなくバックエンド システムに表示されるため、データ認識検出、厳格なオリジンとツールスコープ、継続的なセキュリティテストが必要です。エージェンティックブラウジングが主流の使用に移行する際に。
翻訳元: https://gbhackers.com/agentic-llm-browsers/
