エージェンティックLLMブラウザのプロンプトインジェクションとデータ盗難のリスクは、日常的なウェブバグを完全なセッション侵害パスに変えており、攻撃者がAIエージェントをハイジャックし、大規模に機密データを静かに抜き出すことを可能にしています。
Perplexity CometなどのエージェンティックブラウザがOpenAI Atlas、Edge Copilot、Brave Leoがヘルパーから半自律オペレーターへと進化するにつれて、隠れた制御平面はプロンプトベースと建築的攻撃の両方の高価値ターゲットになっています。
Perplexityの CometとOpenAIの Atlasのような製品は、Chromiumとの深い統合を実装し、拡張機能またはIPCレイヤーを介して特権的なAPIを公開しており、LLMはブラウザをまるで自動化されたユーザーであるかのように動かすことができます。
Cometでは、許可されたexternally_connectable オリジン上のXSS脆弱性により、攻撃者はchrome.runtime.sendMessageを直接呼び出して、他のタブを読み取ったり、UIエレメントをクリックしたり、ユーザーとしてメールを送信できるGetContentやエージェントフローなどのツールを動かすことができます。
HacktronのCometに関するUXSSケーススタディは、拡張機能ブリッジの単一の設定ミスがどのように任意のエージェントアクションを可能にし、問題が修正されるまで継続する可能性があるかを示しています。
AtlasはそのIPC側で同様のリスクに直面しています:許可されたopenai.comサブドメイン上のXSSは、グローバルMojoオブジェクトを公開でき、攻撃者が低レベルコマンドをOWLホストプロセスに押し込み、上位レベルのLLMガードレールをバイパスしてChromiumを直接制御することを可能にします。
防御者は建築的なセーフガードを導入し始めていますが、これらの制御は脆弱で不均等に展開されています。
例えば、Cometのlocal_search_enabled フラグは、信頼できるプロンプトをURLパラメータまたはリファラベースのリクエストから区別しようと試み、q= リンク経由でクエリが到着したときにアシスタントをパッシブモードにダウングレードして「エージェンティックCSRF」を防止します。
AtlasのOWL層とイベントルーティングルールは、エージェントが生成したインプットをウェブコンテンツサンドボックス内に保ち、特権ショートカット合成を回避し、自動化されたアクションのブラスト半径を減らすように設計されています。
一方、Braveは、Leoを非エージェンティックに保ち、そのUIをリモートオリジンではなく内部ブラウザリソースから読み込むことで、リモートUI XSSリスクの全クラスを削除し、露出を減らしています。
それでも、Varonisはこれらの措置はコアパラドックスに完全に対処していないと警告しています:LLMブラウザが有用であるためには、従来のブラウザが何十年もかけて強化した境界を越える必要があります。
エージェントツールはユーザーの権限で動作し、複数のタブまたはローカルリソースに頻繁にまたがるため、単一のXSS、データボイド、または間接的なプロンプトインジェクションは、完全なセッションハイジャックと静かなデータ盗難にエスカレートする可能性があります。
翻訳元: https://cyberpress.org/agentic-browsers-face-injection/