AIテクノロジーの発展に伴ってさまざまな企業が「AIエージェント搭載ブラウザ」をリリースしています。AI検索サービスを展開するPerplexityがリリースしたAI搭載ブラウザ「Comet」には、AIを通じたプロンプトインジェクション攻撃を受けるリスクがあると、ブラウザ開発企業・Braveのセキュリティエンジニアが報告しました。
AI agents that can browse the Web and perform tasks on your behalf have incredible potential but also introduce new security risks.
We recently found, and disclosed, a concerning flaw in Perplexity’s Comet browser that put users’ accounts and other sensitive info in danger. pic.twitter.com/kwYTrwgznO
— Brave (@brave) August 20, 2025
Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet | Brave
https://brave.com/blog/comet-prompt-injection/
Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet
https://simonwillison.net/2025/Aug/25/agentic-browser-security/
AIエージェントを搭載したブラウザは「来週の金曜日にロンドンへ行く航空券を予約して」といったユーザーの指示に従い、ウェブページの閲覧だけでなく必要情報の入力まで自律的に実行できます。しかし、BraveのシニアモバイルセキュリティエンジニアであるArtem Chaikin氏は、こうしたAIエージェントによるブラウジングはセキュリティとプライバシーの問題も抱えていると指摘。
AIエージェント搭載ブラウザがウェブページでさまざまな情報を入力できるということは、AIが幻覚(ハルシネーション)を起こしたり悪意のあるプロンプトを与えられたりして、予期せぬ場面で情報を漏えいする可能性があるということです。そこでChaikin氏は、さまざまなAIエージェント搭載ブラウザの検証を行ったところ、Cometの脆弱(ぜいじゃく)性を発見したとのこと。
今回見つかった脆弱性は、Cometがウェブページのコンテンツを処理する方法に関連しています。ユーザーが「このウェブページを要約して」といった指示を与えると、Cometはウェブページの一部を直接AIモデルに送信しますが、ここではユーザーの指示とウェブページ内の信頼できないコンテンツを区別しません。これにより、攻撃者はAIに実行させるための悪意あるコマンドをコンテンツに埋め込み、ターゲットが引っかかるのを待つことができるというわけです。
Cometに対する攻撃の具体的な流れは以下の通り。
1:攻撃者がさまざまな方法でウェブ上のコンテンツに悪意のある指示を埋め込む。白い背景に白い文字で書いて見えなくしたり、HTMLに直接コメントとして書き込んだり、その他目に見えない要素を用いたりできるほか、SNSに投稿されたコンテンツに悪意のあるプロンプトを挿入することも可能。
2:何も知らないAI搭載ブラウザのユーザーがページを訪れ、「このページを要約する」といったAIアシスタント機能を使用する。
3:AIエージェントがウェブページを処理する際、隠された指示を読み取ってしまう。
4:挿入された指示にAIエージェントが従い、ユーザーの個人情報を流出させる。
海外掲示板のRedditを例に、攻撃の流れをデモンストレーションした動画が以下。
CometでRedditのページを開き、AIを使って要約させます。
すると、どういうわけかPerplexityのアカウント情報にアクセスし始めました。Redditのページ上で白塗りになっていた部分を表示すると、なんと隠されていた部分にCometへの指示が記されていました。
Cometは怪しげな指示に疑うことなく従い、ユーザーのメールアドレスと認証コードをReddit上に投稿してしまいました。このようにブラウザに搭載されたAIエージェントは、人間だったら不審に思うような指示でもユーザーからの指示と同様に従ってしまう場合があるというわけです。
Braveは今回の発見を受けて、考えられる緩和策として以下のことを提唱しています。
・AI搭載ブラウザがユーザーの指示とウェブサイト上のコンテンツを区別できるようにする。
・潜在的に安全ではないアクションを特定し、ユーザーのリクエストとの整合性が取れていることを確認する。
・セキュリティやプライバシーに関連するタスクにを実行する際は、必ずユーザーから明示的な許可を得る。
・ブラウザがAIエージェントによるブラウジングと通常のブラウジングを分離できるようにする。
また、セキュリティツールを開発するGuardioの調査では、Cometが「偽のオンラインショップ」に誘導された際、ウェブサイトの正当性を確認せずに個人情報を入力して購入を完了してしまうことが判明しています。
“Scamlexity”: When Agentic AI Browsers Get Scammed
https://guard.io/labs/scamlexity-we-put-agentic-ai-browsers-to-the-test-they-clicked-they-paid-they-failed
Perplexity’s Comet AI browser tricked into buying fake items online
https://www.bleepingcomputer.com/news/security/perplexitys-comet-ai-browser-tricked-into-buying-fake-items-online/
なお、BraveにもAIアシスタントとして「Leo」が搭載されています。Leoに導入されているセキュリティ対策については、解説ブログ記事を今後公開予定とのことです。
ウェブブラウザ「Brave」のAIアシスタント「Leo」がAndroid版でも利用可能に – GIGAZINE
この記事のタイトルとURLをコピーする
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。