AIブラウザのセキュリティリスク
目次
- AIブラウザとは何か——従来ブラウザとの根本的な違い
- 主要AIブラウザ3製品の現状とは(2026年5月時点)
- AIブラウザが構造的にリスクを持つ理由とは
- Trail of Bitsの4分類とは——技術的な裏づけ
- 2025〜2026年に報告された主な手法——脅威全体マップ
- 脅威①とは何か——間接プロンプトインジェクションの仕組み
- Brave Researchが開示したCometの間接プロンプトインジェクション(2025年8月)
- HashJack——URLの「#」以降に命令を隠す(Cato CTRL、2025年11月)
- 脅威①への対策
- 脅威②とは何か——横断アクセスが生む情報漏洩
- PleaseFix / PerplexedBrowser——カレンダー招待1件でfile://から1Passwordボルトまで(Zenity Labs、2026年3月)
- Guardio Scamlexity——AIブラウザが偽ECサイトで自律購入(Guardio Labs、2025年8月)
- 脅威②への対策
- 脅威③とは何か——「記憶」への侵入と永続化の仕組み
- Tainted Memories——LayerXとOpenAIの主張対立(2025年10月)
- 脅威③への対策
- どの製品で何が起きたか——攻撃手法と製品の組み合わせ
- HashJackの製品別成否と、別経路の脆弱性
- 製品横断の全体像
- 対策の最前線
- 今日からできること——AIブラウザを正しく使うための実践ガイド
- この記事のまとめ
- 参照元
AIブラウザはタスクを代わりに実行してくれる半面、「命令を乗っ取られる」「ログイン済みの情報を持ち出される」「記憶を汚染される」という3つのセキュリティリスクを持つ。本記事では2025〜2026年に研究者が発見した実例と各リスクが発生する仕組みを整理したうえで、利用者が今日から実践できる自衛策を解説する。「危険だから使うな」ではなく「仕組みを理解して選択的に使う」——それが本記事の目的だ。
AIブラウザとは何か——従来ブラウザとの根本的な違い
AIブラウザとは、生成AIのエージェント機能を組み込み、ユーザーの指示に基づいてウェブ上のタスクを自律的に実行できるブラウザを指す。「このページを要約して」といった情報収集にとどまらず、「このフォームに入力して送信して」「このフライトを予約して」といった操作を、ブラウザ自身が複数のページにまたがって実行する点が最大の特徴だ。
従来のブラウザは「リンクをクリックするのは常にユーザー自身」という前提で設計されており、ページの表示と実行は分離されていた。AIブラウザではこの境界が変わる。LLMがページ内容を読み込み、その内容に基づいて次の動作を決定するため、ページに書かれた内容が「表示対象」から「実行トリガー」になりうる。
この設計上の変化を、セキュリティ研究会社Trail of Bitsは2026年1月の報告書でこう表現した。「ブラウザ組み込みAIエージェントの登場で、セキュリティの旅路を最初からやり直すことになった」("With browser-embedded AI agents, we're essentially starting the security journey over again.")。生成AIの基本的な仕組みも合わせて参照されたい。
主要AIブラウザ3製品の現状とは(2026年5月時点)
Perplexity Comet 2025年7月9日にWindows/macOS版が登場したが、当初はPerplexityの上位有料プラン限定だった。2025年10月に無料化・全世界公開となり、2025年11月20日にAndroid版、2026年3月18日にiOS版が追加された。同年3月にはエンタープライズ向け展開も開始した。フォームへの自動入力・メールの自律処理・フライト予約など多岐にわたるタスクを実行できる。
OpenAI ChatGPT Atlas 2025年10月21日にmacOS向けが公開されたOpenAIのAIブラウザ。複数サイトにまたがるタスクをエージェントが自律実行する「Agent Mode」はChatGPT Plus(月額$20)またはPro(月額$200)のサブスクリプションが必要。2026年3月にChatGPTおよびCodexとのスーパーアプリ統合計画が発表されており、単体製品としての位置づけは現在も過渡期にある。
Google Gemini in Chrome GoogleはChromeのサイドパネルにGeminiを統合し、ページの要約・翻訳・質問応答などを提供している。自律タスク実行機能「Auto Browse」は2026年1月からプレミアム会員向けに提供を開始した。CometやAtlasのような独立したブラウザ製品ではなく、既存のChromeに組み込まれたアシスタント機能という形態を取る。
上記3製品以外にも、Microsoft Edge(Copilot統合)・Opera Neon・Claude for Chromeなど複数の製品が存在する。本記事では研究者の報告事例が多い製品を中心に解説する。
AIブラウザが構造的にリスクを持つ理由とは
単発の脆弱性(バグ)と構造的リスクは異なる。バグはパッチで修正できるが、構造的リスクは製品の設計上の性質から生じるため、修正が難しい。AIブラウザには5つの構造的特性があり、これらが組み合わさることで3つの脅威が生まれる。
特性1:代理実行 AIブラウザはユーザーの代わりにページを操作・行動する。従来のブラウザはページを「表示する」だけで、実行するのは常にユーザーだった。AIブラウザはこの役割をブラウザ自身が担う。
特性2:命令とデータの非分離 ページの内容(外部から取り込む「データ」)とユーザーの命令を、同じLLMへの入力として処理し区別できない。LLMには命令とデータを構造的に分離する機能が本質的にない。これが脅威①(プロンプトインジェクション)の根拠になる。
特性3:横断アクセス ログイン済みの複数サービス(メール・銀行・クラウドストレージ・パスワードマネージャーなど)に同一のユーザー権限でアクセスでき、取得した情報を外部へ送ることもできる。特性1と連鎖して脅威②(データ・認証情報の窃取)が成立する。
特性4:状態の書き換え 閲覧履歴・ログイン状態・LLMのメモリなど、ブラウザや外部サービスの状態を更新できる。
特性5:記憶の永続性 書き換えた状態がセッション・ブラウザ・デバイスを越えて将来まで残る。特性4と組み合わさると脅威③(メモリ汚染による永続化)を生む——一度汚染された記憶はパスワード変更や再ログインでも消えない。
Trail of Bitsは「個々の侵害クラスが組み合わさって攻撃になる」と述べている。脅威は1つの特性が単独で生むのではなく、複数の連鎖によって成立する点が重要だ(特にデータ窃取は特性1+3の連鎖)。
Trail of Bitsの4分類とは——技術的な裏づけ
セキュリティ研究会社Trail of Bitsは2026年1月の報告書で4つのトラストゾーン侵害クラスを定義した(同社は影響を受けたベンダーが協調開示を断ったため製品名を公開していない)。これらは5つの構造的特性と地続きの関係にある。
| 侵害クラス | 概要 | 対応する構造的特性 |
|---|---|---|
| INJECTION | 信頼できない外部データがLLMへの入力(チャット履歴)に追加される | 特性2:命令とデータの非分離 |
| CTX_IN | ブラウジング起源の機密データがチャットコンテキストへ流入する | 特性3:横断アクセス(入口) |
| CTX_OUT | チャットコンテキストが外部リクエストへ漏洩する | 特性3:横断アクセス(出口) |
| REV_CTX_IN | チャットコンテキストがブラウジング起源を更新する(例:自動ログイン実行) | 特性4:状態の書き換え |
同社はこれらの攻撃が「XSSやCSRFと機能的に同じ、数十年前のウェブ脆弱性パターンの再来」だと指摘する。5特性(直感的な理解)と4分類(技術的な裏づけ)は補完関係にある——5特性で「なぜ問題か」を掴み、4分類で「どのように悪用されうるか」を技術的に整理できる。
2025〜2026年に報告された主な手法——脅威全体マップ
| 公表日 | 名称・概要 | 主な対象 | 分類 | 修正状況(時点明記) | 詳述 |
|---|---|---|---|---|---|
| 2025年8月20日 | 間接プロンプトインジェクション(Brave Research) | Comet | 脅威① | 2025年8月公開時点でも「未だ完全緩和されていない」(Brave更新注記) | 第3章 |
| 2025年8月20日 | Scamlexity(Guardio Labs) | Comet・Edge Copilot・OpenAI sandboxed | 脅威② | 特定修正対象外(設計上のリスクとして記録) | 第4章 |
| 2025年9月30日 | Gemini Trifecta(Tenable) | Geminiスイート全体 | 類例①② | 全3件Googleが2025年9月時点で修正済み | 類例 |
| 2025年10月27日 | Tainted Memories(LayerX) | Atlas | 脅威③ | LayerX「成立」/OpenAI「成立しない」と対立・第三者未決着 | 第5章 |
| 2025年11月25日 | HashJack(Cato CTRL) | Comet・Edge Copilot・Gemini | 脅威①② | Comet: 2025年11月18日修正。Edge: 2025年10月27日修正。Gemini: 2025年11月時点「Won't Fix(意図的動作)」かつ低重大度と分類。本記事公開時点で修正の報は確認されていない | 第3章 |
| 2025年12月8日 | Privacy Practices of Browser Agents(arXiv:2512.07725) | 8製品 | 調査研究 | 研究(修正対象外) | 本章 |
| 2026年1月13日 | 構造的脆弱性フレームワーク(Trail of Bits) | 複数(製品名非公開) | 構造分析 | アーキテクチャ上の問題(特定パッチなし) | 本章 |
| 2026年3月3日 | PleaseFix / PerplexedBrowser(Zenity Labs) | Comet | 脅威② | Perplexity: 2026年2月13日修正確認。1Password: 2026年1月30日セキュリティ強化 | 第4章 |
| 2026年5月7日 | ClaudeBleed(LayerX) | Claude in Chrome | 拡張間通信(別系統) | Anthropic: 2026年5月6日パッチ配布。LayerXは公表時点でバイパスを確認 | 第6章 |
上記のほかにも、NeuralTrustによるAtlasのジェイルブレイク・OAuthトークン平文保存(2025年10月24日)、SquareXのAIブラウザOAuth攻撃(2025年10月9日)、Braveによるスクリーンショット内不可視テキスト注入続報(2025年10月21日)、Opera Neonへのプロンプトインジェクション(2025年10月31日)といった報告も相次いでいる。
「Privacy Practices of Browser Agents」(arXiv:2512.07725、2025年12月8日)は8製品(ChatGPT Agent・Google Project Mariner・Amazon Nova Act・Perplexity Comet・Browserbase Director・Browser Use・Claude Computer Use・Claude for Chrome)を対象に5領域で計30件の脆弱性を特定し、うち13件を公開90日以上前に責任ある開示で報告した(一部チームはP2として対応)。テスト対象全製品に最低1件の問題が確認されており、特定製品だけの問題ではなくカテゴリ全体の課題であることが独立した研究によって示されている。
脅威①とは何か——間接プロンプトインジェクションの仕組み
プロンプトインジェクションとは、LLMへの入力に悪意ある命令を混入させ、本来の指示とは異なる動作をさせる攻撃を指す。AIブラウザで特に問題となるのは「間接」型——ユーザーではなくウェブページや外部データから命令が混入するケースだ。
直接型はユーザー自身が入力フォームなどに悪意ある命令を入力するパターンで、いわゆるジェイルブレイクに近い。間接型はユーザーが何も意識していない状態で、閲覧したページ・カレンダー・ファイルなどの外部データ経由でLLMへの入力に命令が混入する。間接型が深刻な理由は特性2(命令とデータの非分離)にある。AIブラウザがページを「読んで要約する」際、攻撃者がページに埋め込んだ「次のリンクをクリックして情報を外部URLに送れ」という命令文も一緒にLLMへ渡ってしまう。生成AIキーワード解説ではプロンプトインジェクションの技術的背景を詳説している。
Brave Researchが開示したCometの間接プロンプトインジェクション(2025年8月)
Brave Research(ブラウザ「Brave」の開発元)は2025年8月20日、Perplexity CometのAIアシスタントに対する間接プロンプトインジェクションの脆弱性を開示した。白文字・HTMLコメント・スポイラータグなど視覚的に見えない形でウェブページに命令文を埋め込むと、ユーザーが「このページを要約して」とCometに頼んだ際にその命令がLLMへ渡る。Braveは「Cometはユーザーの命令と、ウェブページの信頼できないコンテンツを区別せずにLLMに渡している」と指摘した("When users ask it to 'Summarize this webpage,' Comet feeds a part of the webpage directly to its LLM without distinguishing between the user's instructions and untrusted content from the webpage.")。Perplexityは7月27日に初期修正を施したが、Braveは公開後の追加テストでも「未だ完全緩和されていない」という注記を付している。Braveの実証では、Redditのスポイラータグに隠した命令でCometにユーザーのメールアドレスとワンタイムパスワード(OTP)を読み取らせ、Perplexityアカウントを乗っ取れることが示された。
HashJack——URLの「#」以降に命令を隠す(Cato CTRL、2025年11月)
Cato CTRL(セキュリティ研究部門)は2025年11月25日、HashJackと名づけた手法を開示した。URLのフラグメント部分(#以降)に攻撃命令を埋め込み、AIブラウザがURLをAIアシスタントへ渡す際にその命令も一緒に送信させる技法だ。任意の正規サイトのURLを兵器化できる点が従来の手法と異なる。Cato CTRLは6つの攻撃シナリオを確認した(コールバックフィッシング・データ漏洩・誤情報拡散・マルウェア誘導・医療被害・クレデンシャル窃取)。エージェント型のCometではバックグラウンドでの外部送信(データ漏洩)が観測された。EdgeとGeminiでは命令の実行は確認されたが、バックグラウンド外部送信は観測されなかった。
製品別パッチ状況(時点を明記)
| 製品 | HashJackの成否 | パッチ状況 |
|---|---|---|
| Perplexity Comet | 成立(バックグラウンド外部送信も観測) | 2025年11月18日修正済み |
| Microsoft Edge Copilot | 成立(命令実行のみ、外部送信は未観測) | 2025年10月27日修正済み |
| Google Gemini for Chrome | 成立(命令実行のみ、外部送信は未観測) | 2025年11月時点「Won't Fix(意図的動作)」かつ低重大度(S4/P3)と分類。本記事公開時点で修正の報は確認されていない |
| Claude for Chrome | 動作しなかった | — |
| OpenAI Atlas | 動作しなかった | — |
HashJackに対してClaude for ChromeとAtlasは防御を示した。ただしこれは「これらの製品が安全」を意味しない——後述する別経路での脆弱性が存在するためだ。
脅威①への対策
自律タスクの実行前に何をするかを把握する エージェントモードを使う際は実行内容を自分で確認してから依頼する。情報収集・要約は比較的リスクが低いが、フォーム送信・購入・メール送信などの実行系タスクは慎重に判断する。
センシティブな操作との分離 ネットバンキング・重要なメール・パスワードマネージャーを開いた状態でエージェントタスクを並行実行しない。エージェントが動作している間は横断アクセス可能な状態が続く。
信頼できないページで要約を頼まない 不審なサイトや未確認のリンク先をAIブラウザに要約させると、そのページに埋め込まれた命令がLLMに渡るリスクがある。
脅威②とは何か——横断アクセスが生む情報漏洩
脅威②が成立するには「特性1(代理実行)+特性3(横断アクセス)の連鎖」が必要だ。つまり脅威①(プロンプトインジェクション)が成立した状態で、AIブラウザに横断アクセス能力があり、かつ盗み出す先が存在する——この3条件が揃って初めて情報窃取が完成する。
PleaseFix / PerplexedBrowser——カレンダー招待1件でfile://から1Passwordボルトまで(Zenity Labs、2026年3月)
Zenity Labs(AIエージェントセキュリティを商材とするセキュリティ企業。同社の利害関係者性に留意されたい)は2026年3月3日、PleaseFix脆弱性ファミリーとして2本の技術解説を同時公開した。
ファイルシステム漏洩(Zenity Labs報告) 攻撃者が用意したカレンダー招待に間接プロンプトインジェクションが埋め込まれている。ユーザーが「この会議を受け入れて」とCometに頼んだ瞬間に実行が始まる。CometはゼロクリックでローカルのFile://パスへアクセスしてファイルを読み取り、内容を攻撃者管理のサーバーへ送信する("The attack is zero-click. A benign calendar invitation is sufficient. Once the user asks Comet to accept the meeting, the rest of the flow executes without further interaction.")。
1Passwordボルト乗っ取り(Zenity Labs報告) 同じ実行経路でCometに1Password Webボルトを操作させ、パスワード・シークレットキーを外部送信することが可能と報告された。Perplexityアカウントのパスワードと復元用シークレットキーを変更するフルアカウント乗っ取りまで可能とされた。
タイムラインと対応 Zenity Labsが2025年10月22日にPerplexityへ報告。Perplexityは2026年1月23日に初期修正(file://パスへのエージェントアクセスをコードレベルで遮断)を実施したが、Zenityがview-source:file:///プレフィックスでバイパスを発見。2026年2月11日に2回目のパッチを適用し、2026年2月13日にZenityが修正を確認した。
協調対応の例 1Passwordは2026年1月30日にセキュリティ強化策と公開アドバイザリを発表し、「根本原因は自社プラットフォームではなくPerplexityのブラウザ実行モデルにある」と確認したうえで自社側の緩和策(automatic sign-inの無効化オプション・Ask before fillingの追加)を公開した。これは発見者・提供者・関連サービスが連携して対応した協調対応の事例だ。
Guardio Scamlexity——AIブラウザが偽ECサイトで自律購入(Guardio Labs、2025年8月)
Guardio Labs(セキュリティ企業。同社の利害関係者性に留意されたい)は2025年8月20日、AIブラウザが実際のフィッシング・詐欺シナリオにどう反応するかを実験した研究「Scamlexity」を公開した。テスト対象はComet・Microsoft Edge Copilot・OpenAI sandboxed browser(当時の実験的なエージェントモード。後のAtlasの前身にあたる)の3製品。3つのシナリオで問題が確認された。第一は偽ECサイトでの自律購入(Walmartの偽サイトでエージェントが保存済み決済情報を自動入力して購入完了)、第二はフィッシングメールへの自動クリック(Googleセーフブラウジングで検出されない活性フィッシングページへ誘導)、第三はPromptFix攻撃(偽CAPTCHA上の不可視命令によるドライブバイダウンロード実行)だ。同社は「AIブラウザのセキュリティはアーキテクチャに最初から織り込まなければならない」("Security must be woven into the very architecture of AI Browsers, not bolted on afterward.")と述べている。この研究は特定の修正対象を定めたものではなく、設計上のリスクの記録として公開されている。
脅威②への対策
パスワードマネージャーの設定変更(具体的操作) Zenity Labsが強調する核心は「緩和策はオプトイン・リスクはデフォルトのまま」という非対称性だ。1Password等のパスワードマネージャーを使う場合は次の設定変更を推奨する。
| 設定項目 | 推奨 | 期待される効果 |
|---|---|---|
| 自動サインイン(automatic sign-in) | オフにする | ページ読み込みで自動入力・送信されるリスクを低減 |
| Ask before filling(入力前確認) | 有効にする | AIブラウザが認証情報を入力しようとする前に確認を挟む |
| ロックのタイムアウト | 短く設定(例:10分) | 長時間アンロック状態のリスクを下げる |
| MFA(多要素認証) | 必ず設定する | 認証情報漏洩時でも完全な乗っ取りを防げるケースが多い |
上記はパスワードマネージャー全般のベストプラクティスだが、AIブラウザとの組み合わせでは特に重要度が高まる。
センシティブな情報源を閉じる AIブラウザでタスクを依頼する際は、重要なサービスへのログインセッションを切断してから実行する(不便ではあるが最も確実な手段)。
脅威③とは何か——「記憶」への侵入と永続化の仕組み
脅威③の根拠は「特性4(状態の書き換え)+特性5(記憶の永続性)」にある。単発のプロンプトインジェクションや情報窃取が「一度の攻撃が一度の結果を生む」のに対し、メモリ汚染は「一度の侵入が将来のすべてのセッションに影響をおよぼす」点で質的に異なる。
ChatGPTのメモリ機能がアカウント単位でセッション・ブラウザ・デバイスを横断して永続することは、後述の発見者LayerXも提供元のOpenAIも争っていない事実だ。この「記憶の永続性」が、一度汚染されると広範囲かつ長期に影響が及ぶリスクを生む。
Tainted Memories——LayerXとOpenAIの主張対立(2025年10月)
LayerX Security(AIブラウザセキュリティを商材とするセキュリティ企業。同社の利害関係者性に留意されたい)は2025年10月27日、ChatGPT Atlasに関する「ChatGPT Tainted Memories」を報告した。
LayerXの主張:CSRF(クロスサイトリクエストフォージェリ)を経由してChatGPTのメモリに悪意ある命令を注入でき、その命令は将来のすべてのセッションで有効になる。なお、この脆弱性はAtlas固有ではなく、あらゆるブラウザ上のChatGPTユーザーに影響する(ChatGPTのメモリ機能自体の問題として指摘)。AtlasユーザーはデフォルトでChatGPTにログインしたままで認証トークンがブラウザに保存されているため特に危険だとLayerX共同創業者Or Eshedは指摘する。また、この攻撃はゼロクリックではなく、ユーザーが悪意あるリンクをクリックするソーシャルエンジニアリング要素を伴う点で、PleaseFix(第4章・ゼロクリック)とは深刻度が異なる。AtlasはChromeやEdgeよりもフィッシング攻撃に90%より脆弱だとLayerX社の自社テスト(実環境103件中97件のフィッシング試行がAtlasで通過、ChromeやEdgeと対比)によって示されている(LayerX社の計測によるもの。中立な第三者検証ではない)。
OpenAIの公式反論:OpenAIはCSO Onlineなどへの広報コメントで明確に否定した。「この問題はChatGPT Atlasに影響しない。AtlasはこのCSRF攻撃に対して脆弱でない。提供された情報に基づいて再現を試みたが、結果を再現できていない。実際の悪用事例も確認していない」("To our knowledge, this issue doesn't impact ChatGPT Atlas, which isn't vulnerable to this kind of cross-site request forgery (CSRF) attack. We've reached out to LayerX for more information – based on what's been provided so far, we haven't been able to reproduce the results of the report. We have not seen any real-world attempts to exploit this to date.")。
対立の構図を整理する:争いのない前提として(a)CSRFという攻撃手法は長年知られた古典的なウェブ脆弱性であること、(b)ChatGPTのメモリ機能がアカウント単位でセッション横断して永続することは事実であること、(c)プロンプトインジェクションという脅威カテゴリの存在はOpenAI CISOも認めていることがある。対立している唯一の点は「CSRF経由のメモリ注入がAtlasで実際に成立するか」であり、LayerXは「成立する」と主張し、OpenAIは「成立しない・再現できない」と否定している。技術的詳細はLayerXが悪用防止のため非公開であり、第三者による独立再現・最終的な決着はついていない。どちらの主張が正しいかを本記事では断定しない。
PleaseFix(第4章)が関係者間の協調対応の例だったのとは対照的に、Tainted Memoriesは発見者と提供者の主張が真正面から対立し、未解決のまま推移しているという構図だ。
脅威③への対策
メモリ機能の定期確認・清掃 ChatGPT等のメモリ機能は設定から内容を確認・削除できる。定期的に確認し、意図しない内容が記録されていないかチェックする習慣をつける。
重要なタスク前にメモリを確認する 金融・個人情報に関わる重要なタスクをChatGPT Atlasで実行する前に、メモリに不審な命令がないか確認する。
不審なセッション後はメモリを全削除する 何らかの異常を感じた後は、ChatGPTのメモリを全削除するのが最も確実な対処だ。
どの製品で何が起きたか——攻撃手法と製品の組み合わせ
「どの製品が安全か」という問いには一意の答えがない。攻撃手法ごとに製品の強弱が異なる——これが2025〜2026年の研究から明確になった事実だ。
HashJackの製品別成否と、別経路の脆弱性
HashJackに対してはClaude for ChromeとAtlasが防御を示したが(Cato CTRL、2025年11月)、これは「これらの製品が安全」を意味しない。
LayerX Security(同社はAIブラウザセキュリティを商材とする)は2026年5月7日、ClaudeBleedと名づけた脆弱性をClaude for Chrome拡張機能に対して公表した。Claude拡張機能のexternally_connectable設定がオリジンclaude.aiを信頼するが、そのオリジン内で誰がスクリプトを実行しているかを検証しない。これにより権限ゼロの任意の拡張機能が、Claudeに任意のプロンプトを注入して実行させることができる。
ClaudeBleedはプロンプトインジェクションではない:ClaudeBleedの攻撃経路はウェブページからLLM入力への混入(脅威①②③)とは異なる「拡張機能間のトラスト境界の問題」だ。
タイムライン:LayerXが2026年4月27日にAnthropicへ報告 → Anthropicが2026年5月6日にv1.0.70を配布(明示的承認フローを追加) → LayerXが2026年5月7日に公表 → 公表時点でLayerXは数時間でバイパスを確認(externally_connectableハンドラ自体は除去されず、「Act without asking」モードや側パネル初期化フロー経由で依然悪用可能と報告)。
製品横断の全体像
HashJackはComet・Edge・Geminiで成立、Claude for ChromeとAtlasでは動作しなかった。しかしClaude for ChromeにはClaudeBleed(拡張間通信・別系統)が存在する。「HashJackで防げた=安全」ではなく、「攻撃手法ごとに製品の強弱が異なる」という正確な描写が求められる。
| 脆弱性・攻撃手法 | Comet | Edge | Gemini | Claude for Chrome | Atlas |
|---|---|---|---|---|---|
| HashJack(Cato CTRL) | 成立→修正済 | 成立→修正済 | 成立→Won't Fix(修正の報なし) | 動作せず | 動作せず |
| PleaseFix(Zenity Labs) | 成立→修正済 | — | — | — | — |
| Tainted Memories(LayerX) | — | — | — | — | 対立・未決着 |
| ClaudeBleed(LayerX) | — | — | — | 成立→パッチバイパス確認 | — |
対策の最前線
OWASP:プロンプトインジェクションを最高優先度に(v2025) OWASP Top 10 for LLM Applications v2025はプロンプトインジェクションをLLM01:2025(最高優先度)に位置づけ、2版連続でトップとした。入力検証・コンテキスト分離・最小権限の原則・出力フィルタリングを防御策として推奨している。これらは主に脅威①(プロンプトインジェクション)への対策原則を体系化したものだ。
OpenAI:「完全解決は見込めない」と認め自動レッドチーミングで対抗 OpenAIは2025年12月23日の公式ブログ「Hardening Atlas Against Prompt Injection」で「プロンプトインジェクションは、ウェブ上の詐欺やソーシャルエンジニアリングと同様、完全に解決されることはない見込みだ」("Prompt injection, much like scams and social engineering on the web, is unlikely to ever be fully 'solved.'")と述べた。対策として強化学習を用いた自動レッドチーミングシステムを導入し、攻撃パターンを継続的に検出・防御する体制を構築している。OpenAI CISO Dane Stuckey氏はX(旧Twitter)でも「プロンプトインジェクションはフロンティア上の未解決セキュリティ問題だ」("prompt injection remains a frontier, unsolved security problem"、2025年10月)と述べている。脅威①の検出・防御に向けた取り組みだ。
Trail of Bits:SOPのエージェントへの拡張とCaMeL Trail of Bitsは2026年1月の報告書で主要な対策として「同一オリジンポリシー(SOP)のAIエージェントへの拡張」を推奨した。SOPをAIエージェントに拡張することで異なるオリジン間の不正なデータ転送を防ぐことができ、脅威②(横断アクセス)への設計レベルの対策として有効だ。Google DeepMindとETH Zurichが開発した二重LLMアーキテクチャ「CaMeL」(特権LLMが信頼できる命令のみで計画を立て、隔離LLMが悪意ある可能性のあるコンテンツを処理する分離構造)は脅威①への設計レベルの防御として、同報告書が有望な研究方向として紹介している。
Gartner:企業向けに当面のブロックを勧告 Gartnerは2025年12月の調査ノート「Cybersecurity Must Block AI Browsers for Now」でCISOに「エンタープライズ対応のAIブラウザがGA(一般提供)されるまで、すべてのAIブラウザをブロックするよう」勧告した。懸念点として「デフォルト設定がセキュリティよりUXを優先している点」「間接プロンプトインジェクションによる不正動作」「フィッシングサイトへの自律ナビゲーション」を挙げた。脅威①②③すべてを含む企業全体のリスク低減策として位置づけられている。この勧告は企業向けの対象であり、個人利用への適用にあたっては文脈を踏まえて判断する。
今日からできること——AIブラウザを正しく使うための実践ガイド
「AIブラウザを使ってはいけないか?」という問いへの答えは「仕組みを理解して選択的に使う」だ。研究者やOpenAIが示す現実は「構造的リスクは完全解決できない」だが、設定変更・タスクの選別・メモリ管理といった具体的な行動で自衛できる部分は確かに存在する。
1. エージェントタスクの実行前に「何をするか」を把握する AIブラウザのエージェントモードを使う際は実行内容を自分で確認してから依頼する。情報収集・要約は比較的リスクが低いが、フォーム送信・購入・メール送信などの実行系タスクは判断を挟む。
2. パスワードマネージャーの設定を変更する(第4章の設定表を参照) 自動サインインをオフにする、Ask before fillingを有効にする、ロックタイムアウトを短くする、MFAを設定する——これらは今日から実行できる具体的な操作だ。
3. センシティブなセッションを分離する ネットバンキング・重要なメール・クラウドストレージを開いた状態でエージェントタスクを実行しない。エージェントが動作している間はログイン済みセッション全体にアクセス可能な状態が続く。
4. メモリ機能を定期的に確認・清掃する ChatGPT等のメモリ機能を使っている場合は、記録内容を定期的に確認して意図しない内容があれば削除する。
5. 企業利用ではGartner勧告を参照する 組織環境でAIブラウザの導入を検討する場合は、Gartner「Cybersecurity Must Block AI Browsers for Now」(2025年12月)を参照し、組織のリスク許容度に応じた判断を行う。
Q: AIブラウザと従来のブラウザは何が違うのか
A: 従来のブラウザはリンクをクリックするのは常にユーザー自身という前提で設計されています。AIブラウザはLLM(大規模言語モデル)を組み込み、ユーザーの指示に基づいて複数サイトにまたがるタスクを自律実行します。この「代わりに判断・行動する」という性質が、本記事で解説する3つのセキュリティリスクの構造的な根拠です。
Q: AIブラウザの脆弱性はすでに修正済みなのか
A: 個別の脆弱性の多くは修正されていますが、プロンプトインジェクションのような構造的なリスクはパッチで完全に解消できません。OpenAIは2025年12月の公式ブログで「プロンプトインジェクションは完全解決が見込めない」と述べており、攻撃手法は修正後も進化し続けます。
Q: AIブラウザを使ってはいけないのか
A: 「使ってはいけない」が結論ではありません。Gartnerは2025年12月に企業向けに当面のブロックを勧告していますが、一般個人の利用では「仕組みを理解して選択的に使う」ことが現実的な対応です。特にネットバンキングやパスワードマネージャーを開いた状態でエージェント機能を使う場合は注意が必要です。
Q: どのAIブラウザが最も安全なのか
A: 攻撃手法によって製品の強弱が異なります。HashJackはComet・Edge・Geminiで成立しましたが、Claude for ChromeとAtlasでは動作しませんでした(Cato CTRL、2025年11月)。一方、Claude for Chromeには別経路の脆弱性ClaudeBleedが報告されています(LayerX、2026年5月)。現時点でどの製品でも安全と断言できる状況にはありません。
Q: プロンプトインジェクションとは何か
A: プロンプトインジェクションとは、LLMへの入力に悪意ある命令を混入させ、本来の指示とは異なる動作をさせる攻撃です。AIブラウザではユーザーが閲覧するウェブページに攻撃者が命令文を埋め込み、AIブラウザにその命令を実行させる「間接プロンプトインジェクション」が特に問題です。OWASP Top 10 for LLM Applications v2025では最高優先度(LLM01:2025)に分類されています。
この記事のまとめ
- AIブラウザは「代理実行・命令とデータの非分離・横断アクセス・状態の書き換え・記憶の永続性」という5つの構造的特性を持つ
- これらの組み合わせが3つの脅威を生む:脅威①プロンプトインジェクション(特性1+2)、脅威②データ・認証情報の窃取(特性1+3の連鎖)、脅威③メモリ汚染(特性4+5)
- 攻撃手法ごとに製品の強弱は異なる。HashJackで防げた製品に別経路の脆弱性が存在する場合もある
- 個別の脆弱性の多くは修正済みだが、プロンプトインジェクションは構造的に「完全解決が困難」(OpenAI公式ブログ、2025年12月)
- 今日から実践できる自衛策:パスワードマネージャーの設定変更(自動サインインをオフにする・入力前確認・MFA)、エージェントタスク前のセッション分離、メモリ機能の定期確認
- 企業利用ではGartner勧告(2025年12月)の参照を推奨
参照元
| 出典 | URL | 確認日 |
|---|---|---|
| Brave Research, "Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet" | 公式ブログ | 2026年5月25日 |
| Brave Research, "Unseeable prompt injections in screenshots: more vulnerabilities in Comet and other AI browsers" | 公式ブログ | 2026年5月25日 |
| Guardio Labs, "Scamlexity: When Agentic AI Browsers Get Scammed" | 公式ブログ | 2026年5月25日 |
| Tenable Research, "The Trifecta: How Three New Gemini Vulnerabilities…Allowed Private Data Exfiltration" | 公式ブログ | 2026年5月25日 |
| LayerX Security, "ChatGPT Tainted Memories" | 公式ブログ | 2026年5月25日 |
| OpenAI spokeperson via CSO Online(Tainted Memories反論コメント) | 記事 | 2026年5月25日 |
| Cato CTRL, "HashJack: First Known Indirect Prompt Injection Against AI Browser Assistants" | 公式ブログ | 2026年5月25日 |
| Zenity Labs, "PerplexedBrowser: Perplexity's Agent Browser Can Leak Your Personal PC Local Files" | 公式ブログ | 2026年5月26日 |
| Zenity Labs, "PerplexedBrowser: How Attackers Can Hijack Comet to Takeover your 1Password Vault" | 公式ブログ | 2026年5月26日 |
| LayerX Security, "ClaudeBleed: A Flaw In Claude's Browser Extension Allows Any Extension to Hijack It" | 公式ブログ | 2026年5月26日 |
| Trail of Bits, "Lack of isolation in agentic browsers resurfaces old vulnerabilities" | 公式ブログ | 2026年5月25日 |
| arXiv:2512.07725, "Privacy Practices of Browser Agents"(2025年12月8日) | 論文・著者情報 | 2026年5月25日 |
| OpenAI, "Hardening Atlas Against Prompt Injection"(2025年12月23日) | 公式ブログ | 2026年5月25日 |
| OWASP, "Top 10 for LLM Applications v2025" | 公式サイト | 2026年5月25日 |
| The Register, "Block all AI browsers for the foreseeable future: Gartner"(2025年12月8日) | 記事 | 2026年5月25日 |
| Gartner, "Cybersecurity Must Block AI Browsers for Now"(2025年12月) | 調査ノート | 2026年5月25日 |