AIを搭載したブラウザやエージェントは、ウェブ上の作業から面倒な手間を取り除くことを約束しています。これらはページの要約を作成したり、アカウントからデータを抽出したり、さらにはユーザーの代わりにクリックや入力を行うスマートアシスタントとしての役割も果たします。しかし、最新の研究によると、こうしたアシスタントが「現実」と「単なるゲーム」の区別がつかなくなると、ユーザーの認証情報や機密データが巻き添え被害を受ける可能性があることが明らかになりました。
各攻撃タイプの特権は、基本ルールのうち1つを無効にすることです:
「LLMには、有害な行動を防ぐことを目的とした安全対策が組み込まれている。」
研究者のロイ・パズ氏は、「BioShocking」と名付けた攻撃手法を考案・公表した。これは、架空のシナリオを現実であるかのようにAIブラウザに提示することで、その安全対策機能を無効化させる手法である。
このように、『BioShocking』は「プロンプト注入」と「目標操作」の交差点に位置しています。プロンプト注入が機能するのは、AIモデルがアプリの指示と攻撃者の指示を区別できないため、誤った指示に従ってしまうことがあるからです。一方、目標操作攻撃は、エージェントが最適化すべき対象を巧妙にすり替え、「ユーザーを助ける」という目標を「どんな手段を使ってもゲームに勝つ」という目標に変えてしまいます。
「BioShocking」という概念実証実験では、攻撃者はゲーム『BioShock』の世界観をモチーフにした、一見無害に見えるウェブページを操作します。このページにはパズルが提示され、自律型ブラウザとして動作するAIエージェントが、ユーザーに代わってそのパズルを解くよう求められます。しかし、ここにひねりがあります。このパズルは間違った答えに対して報酬を与え、エージェントに対して「ここは通常のルールが適用されない特別な環境である」と明示的に伝えるのです。
パズルの最後のステップでは、エージェントに対し、GitHubリポジトリにアクセスし、コード内のパスワードや認証情報などの機密データを見つけ出し、ゲームをクリアする一環としてそれらを共有するよう指示しています。ChatGPT Atlas、Comet、Fellou、Genspark Browser、Sigma Browser、およびClaudeChrome という6つの主要なAIブラウザおよびプラグインを用いたテストでは、どのエージェントも要求を拒否することなく、指示に従いました。
つまり、攻撃者はAIエージェントを架空の現実に没入させることで、そのエージェントに安全策の枠から外れるよう仕向けたのです。
「BioShocking」は孤立した現象ではありません。これは、AIエージェントそのものを標的とする攻撃がますます増えている傾向を示す、また一つの例に過ぎません。OpenClawのAIメールエージェントに関する最近の研究では、基本的なフィッシングの手口を用いるだけで、エージェントを騙してAWSの認証情報や顧客記録を漏洩させることが可能であることが実証されました。
明らかに、これらのブラウザに共通する弱点は、認証済みコンテキストの扱い方にある。AIブラウザが「エージェントモード」で動作する場合、メール、コードリポジトリ、クラウドダッシュボード、パスワードマネージャーなどの機密性の高いプラットフォームにおいて、ユーザーのログイン状態を引き継ぐことがよくある。AIモデルの視点から見れば、それらは単に読み取るべきもう1つのページであり、コピーすべきフィールドがさらに増えたに過ぎない。AIモデルにとって、それらは特別な意味を持たない。
もし周囲の説明で、認証情報のコピーが無害な課題の一環であるとされている場合、現在の多くの実装ではそれに従ってしまうでしょう。
懸念されるのは、ベンダー側の対応、あるいはその欠如である。Paz社は2025年10月、影響を受ける6社のベンダーに「BioShocking」の問題を報告した。報告書によると、そのうち3社は返答がなく、現時点で概念実証(PoC)を阻止する修正を実装しているのはOpenAIのChatGPT Atlasのみである。 Anthropicは自社のClaudeChrome パッチ適用を試みたが、報道によると、その対策は攻撃シナリオに対して依然として効果がないという。Perplexity AIは、本報告時点において、是正措置を講じることなくこの問題をクローズした。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。




