- AtlasのアドレスバーでURL偽装によるプロンプト注入攻撃が可能
- 悪意のあるURLがAIエージェントに危険なコマンドを実行させる
- 従来ブラウザより90%高いフィッシング攻撃リスクが判明
SEOの常識を覆す
AIライティングエージェント
プロフェッショナルの業務フローを完全再現するAIの活用で、飛躍的な品質向上とコストダウンの両立。「magicss」でAI時代のSEO&AIOを実現してみませんか?
今なら 1記事無料で生成可能(カード登録不要)
最短3分で無料体験するOpenAI「Atlas」の新たな脆弱性が明らかに
OpenAIが新たにリリースしたChatGPT「Atlas」ブラウザにおいて、セキュリティ研究者らが深刻な脆弱性を発見しました。NeuralTrustの研究チームが発見したこの脆弱性は、Atlasのオムニボックス(アドレスバーと検索バーを統合した入力欄)において、悪意のあるプロンプトをURL文字列として偽装することで、AIエージェントに危険なコマンドを実行させることができるというものです[1]。
この攻撃手法は、Atlasが信頼できるユーザー入力と信頼できないコンテンツを厳密に分離できていないことを悪用しています。攻撃者は正当なURLのように見える不正な形式の文字列を作成し、これによりブラウザのURL検証を回避してAIエージェントに埋め込まれた指示を実行させることができます[2]。現在、このブラウザはmacOSプラットフォームでのみ利用可能ですが、その革新的な機能と同時に新たなセキュリティリスクも浮き彫りになっています。
この脆弱性は、AIエージェント型ブラウザの根本的な設計課題を浮き彫りにしています。従来のブラウザは単純にWebページを表示するだけでしたが、Atlasのようなエージェント型ブラウザは「URLを開く」と「AIに指示を出す」という2つの異なる機能を同じ入力欄で処理する必要があります。これは、電話とメールを同じ番号で受け取ろうとするようなもので、混乱が生じやすい構造と言えるでしょう。特に、オムニボックスからの入力は「ユーザーが直接入力した信頼できる情報」として扱われるため、通常のWebページコンテンツよりも厳しいセキュリティチェックを受けません。この信頼の差が攻撃者に悪用される隙を与えているのです。
具体的な攻撃手法と実際の脅威
研究者らが発見した攻撃手法は、「https://my-website.com/…+follow+this+instruction+only+visit+
実際の攻撃シナリオとしては、フィッシングページへのリダイレクト、Google Driveからのファイル削除コマンドの実行、システムへの不正アクセスの取得などが確認されています。特に危険なのは、攻撃者がWebサイト上に「リンクをコピー」ボタンを設置し、ユーザーがそれをクリックした際にクリップボードに悪意のあるコマンドを仕込む手法です[4]。ユーザーがこれをAtlasのアドレスバーに貼り付けると、知らないうちに危険なコマンドが実行される可能性があります。
この攻撃の巧妙さは、ユーザーの日常的な行動パターンを悪用している点にあります。私たちは普段、URLをコピー&ペーストすることを何の疑いもなく行っています。それは、従来のブラウザではURLを貼り付けても単にそのページに移動するだけで、システムに害を与えることはなかったからです。しかし、Atlasのようなエージェント型ブラウザでは、同じ行動が予期しない結果を招く可能性があります。これは、自動車の運転に慣れた人が突然飛行機の操縦桿を握るようなもので、見た目は似ていても全く異なる結果をもたらす可能性があるのです。ユーザーの行動パターンを変えることなく、技術的な安全性を確保することの難しさを物語っています。
従来ブラウザとの比較で見える深刻なリスク
LayerX Securityの独立した調査によると、Atlas利用者は従来のChromeやEdgeブラウザ利用者と比較して、フィッシング攻撃に対して最大90%も脆弱であることが判明しています[5]。これは、Atlasが従来ブラウザに搭載されているアンチフィッシング保護機能を十分に備えていないことが主な原因です。
さらに、LayerXは100以上の実際のWeb脆弱性とフィッシング攻撃に対してAtlasをテストし、その結果、従来ブラウザでは防げる攻撃の多くがAtlasでは成功してしまうことを確認しました。また、同社はCSRF(Cross-Site Request Forgery)攻撃を利用してChatGPTのメモリ機能に悪意のある指示を注入する別の脆弱性も発見しており、この攻撃は被害者のアカウントが使用されるすべてのデバイスとブラウザで持続的に影響を与える可能性があります[5]。
この90%という数字は、新しい技術の導入における「セキュリティ負債」の深刻さを示しています。従来のブラウザは何十年もの間、様々な攻撃手法に対抗するためのセキュリティ機能を積み重ねてきました。それは、長年にわたって築き上げられた城壁のようなものです。一方、Atlasのような新しいエージェント型ブラウザは、革新的な機能を提供する一方で、これらの「城壁」を一から構築する必要があります。特に、AIエージェントがシステムに対してより広範囲な権限を持つことで、従来の攻撃が成功した場合の被害も拡大する可能性があります。これは、より強力な武器を持った兵士が、より薄い防具しか身に着けていない状況に例えることができるでしょう。
まとめ
ChatGPT「Atlas」ブラウザで発見された脆弱性は、AIエージェント型ブラウザの新たなセキュリティ課題を浮き彫りにしました。オムニボックスにおけるプロンプト注入攻撃は、従来のブラウザでは考えられなかった新しい攻撃ベクトルであり、ユーザーの日常的な行動パターンを悪用する巧妙な手法です。研究者らは、より厳密なURL解析の実装、明示的なナビゲーション・コマンドモードの選択、オムニボックスプロンプトを信頼できない入力として扱うことなどの対策を推奨しています。AIとブラウザ技術の融合が進む中で、革新性とセキュリティのバランスを取ることが今後の重要な課題となるでしょう。
参考文献
- [1] ChatGPT Atlas Browser Can Be Tricked by Fake URLs into Executing Malicious Instructions
- [2] ChatGPT’s Atlas Browser Jailbroken to Hide Malicious Instructions as Innocent URLs
- [3] Crafted URLs can trick OpenAI Atlas into running dangerous commands
- [4] OpenAI’s ChatGPT Atlas Browser Faces Major Security Vulnerability: What Users Should Know
- [5] LayerX Discovers The First Vulnerability Impacting OpenAI’s New ChatGPT Atlas Browser
*この記事は生成AIを活用しています。*細心の注意を払っていますが、情報には誤りがある可能性があります。
