AnthropicがAIブラウザー機能を限定公開　「危険すぎる」脆弱性とは

Redditの投稿からGmailが乗っ取られる

　Claude for Chrome発表の一週間前、8月20日にブラウザーBraveのセキュリティチームが公表した報告が注目を集めている。「エージェントブラウザーのセキュリティ」と題したレポートだ。

　BraveはAIブラウザー「Leo」を展開しており、現在、エージェント機能を開発している。その過程で他社のソリューションの検証を実施し、PerplexityのAIブラウザー「Comet」に重大なセキュリティ脆弱性を発見したという。

　レポートで報告している概念実証デモは、まず投稿サイトのRedditで「スポイラータグ（伏せ字タグ）」の中に、見えないプロンプトをしのばせ、ユーザーがそのページを訪問してCometブラウザーの「現在のWebページを要約」ボタンをクリックすると、エージェントが隠された指示を実行するというものだ。

　実証実験では、Cometはスレッド要約の指示を受けて裏でGmailにアクセスし、パスワード再設定用のワンタイムパスワード（OTP）を読み取って、攻撃者に送信したという。

　これは「間接プロンプト注入（indirect prompt injection）」と呼ばれる手法で、従来のWebセキュリティモデル（Same-Origin PolicyやCORS）をすり抜ける厄介な脅威だ。

　Braveによると、根本的な問題は「AIが要約すべき内容と従うべきでない指示を区別できない」ことにあるという。そして「従来のWebセキュリティ技術で防止されていた動作を、AIアシスタントに実行させるのが、いかに容易かを示している」とコメントしている。