野心的な ChatGPT Atlas ブラウザをリリースしてからわずか数日後、OpenAI は、AI を活用した Web ツールのカテゴリ全体に影響を与える可能性があると専門家が警告する根本的なセキュリティ上の欠陥に公に取り組んでいます。
研究者が新しいブラウザに対するライブ攻撃の実証を開始したにもかかわらず、同社のセキュリティ責任者は詳細な公式声明の中で、「プロンプト インジェクション」が依然として未解決の問題であることを認めました。
以下 このブラウザが火曜日に発表されたことを受けて、OpenAI の最高情報セキュリティ責任者であるデーン・スタッキー氏は水曜日に X に対して、増大する懸念に対処しました。
彼の投稿は、間接的なプロンプト インジェクションのリスクに直接直面しました。 Web サイトに隠された悪意のある命令は、ブラウザの AI エージェントをだまして、意図しない、潜在的に有害な動作を実行させる可能性があります。
スタッキー氏は、脆弱性を認めた上で、会社の長期的な目標は、エージェントをセキュリティ意識の高い同僚と同じくらい信頼できるものにすることであると説明しました。
ただし、そのテクノロジーはまだ実現していないと認めました。 「…プロンプト インジェクションは未解決のセキュリティ問題のままであり、敵は ChatGPT エージェントをこれらの攻撃に陥らせる方法を見つけるために多大な時間とリソースを費やすでしょう。」
この認めは、セキュリティ コミュニティの多くの人が、エージェント AI の新しい波に内在するリスクを率直かつ必要と認めているとみなしました。
「未解決のセキュリティ問題」
プロンプト インジェクションは新しい問題でも、孤立した問題でもありません。 Winbuzzer は、今年初めに Perplexity の Comet ブラウザで発見された間接プロンプト インジェクションの欠陥など、同様の脆弱性について以前にも報告しています。
Brave のセキュリティ チームからの報告書では、この欠陥はすべての AI 搭載ブラウザが直面するシステム的な課題であると説明されています。 「…間接的なプロンプト インジェクションは個別の問題ではなく、AI 搭載ブラウザのカテゴリ全体が直面する体系的な課題です。」核心的な危険は、AI エージェントがユーザーの指示と、処理するコンテンツに埋め込まれた悪意のあるコマンドを区別できないことにあります。
これにより、AI が「混乱した代理人」、つまり権限のあるプログラムがだまされて悪用されるという古典的なサイバーセキュリティのジレンマに変わる可能性があります。
たとえば、Atlas の発売からわずか数時間後、研究者は新しい「クリップボード」をデモンストレーションしました。 「インジェクション」攻撃。AI エージェントがボタンをクリックしたときに、Web ページ上の隠しコードがユーザーのクリップボードを悪意を持って変更し、ユーザーが知らない間に悪意のあるコマンドを貼り付けるように設定する可能性があります。
セキュリティ研究者にとって、ブラウザのリリースは、現実世界の攻撃に対する防御をテストする即時機会となりました。
何人かは、Atlas を悪意のある指示に従わせる方法を示すデモをすぐに公開しました。Google ドキュメントまたはウェブ ページに埋め込まれています。
これは、一部の人が第二次ブラウザ戦争と呼んでいるもの、つまり機能ではなくインテリジェンスと自律性をめぐって競合他社と繰り広げられる対立の大きな賭けを示しています。
OpenAI の防御: 「監視モード」 とその他のガードレール
OpenAI の透明性は歓迎すべきステップですが、専門家は、断固たる敵対者を阻止するには「多層防御」では十分ではない場合が多いと警告しています。
スタッキー氏は、これらのリスクを軽減するために Atlas に組み込まれているいくつかの重複する安全対策について詳しく説明しました。主な防御策の 1 つは、「ログアウト モード」と呼ばれる機能です。これにより、エージェントは、ログイン セッションの認証情報にアクセスすることなく、ユーザーの代わりに閲覧して行動できるようになります。
昨日、私たちは新しい Web ブラウザである ChatGPT Atlas をリリースしました。 Atlas では、ChatGPT エージェントが作業を行ってくれます。私たちは、この機能が人々の仕事や日常生活をいかに効率的かつ効果的にするかを見るのを楽しみにしています。
ChatGPT エージェントは強力で便利で、次のように設計されています…
— DANΞ (@cryps1s) 2025 年 10 月 22 日
AI 専門家 Simon Willison これを、AI インタラクションをサンドボックス化するための「非常に賢い」テスト済みのパターンであると呼びました。
しかし、より強力な「ログイン モード」では、リスクが増大します。認証されたアクセスが必要な状況に備えて、OpenAI は別の安全策を実装しました。
「エージェントが機密性の高いサイトで動作している場合、警告を発する『監視モード』も実装しました…エージェントの作業を監視するにはタブをアクティブにする必要があります。」
この機能は、エージェントが機密性の高い情報を操作しているときにユーザーが最新情報を把握できるように設計されています。しかし、同社は「機密性の高いサイト」とは何かについて明確な技術的定義を提供していません。
公式ヘルプ センターのドキュメント ノートでは、ページ概要などの機能が「特定の機密性の高い Web サイト(アダルト サイトなど)」ではブロックされているものの、ほとんど提供されていません。 さらに詳しく。このあいまいさは大きな懸念事項です。
Willison 氏は、テストではこのモードが GitHub や彼のオンライン バンクなどのサイトでは有効にならなかったと指摘し、セキュリティに関する決定をエンド ユーザーに委任することは「不当な負担」であると結論付けました。
セキュリティ コミュニティは懐疑論とライブ デモで反応
セキュリティ コミュニティからの反応は、賞賛と称賛が入り混じったものでした。 提案されたソリューションに対する OpenAI の率直さと根強い懐疑。
数多くのプロンプト インジェクション攻撃を文書化している AI セキュリティ研究者の Johann Rehberger 氏、この脅威は蔓延していると述べています。
「高レベルで言えば、プロンプト インジェクションは依然として AI セキュリティにおける新たな脅威のトップの 1 つです…この脅威には、人間に対するソーシャル エンジニアリング攻撃と同様に、完璧な緩和策はありません。」
Willison 氏もこの意見に同調し、動機のある攻撃者に対してはガードレールが不十分であることが多いと主張しました。私
彼は、アプリケーション セキュリティにおいては、完璧に近いだけでは十分ではないと警告しています。
「前にも書いたように、アプリケーション セキュリティでは 99% は不合格点です。ガードレールを突破する方法があれば…やる気のある敵対的な攻撃者がそれを見つけ出すでしょう。」
Atlas の発売はすでに目に見える市場への影響を及ぼしており、リニューアルされたセキュリティにおける高い賭け金が浮き彫りになっています。 ブラウザ戦争。この発表後、アルファベットの株価は当初3%下落し、市場価値で約180億ドルの損失を被ったが、回復するまでに回復した。
しかし、ディープウォーター・アセット・マネジメントのジーン・マンスター氏のようなアナリストは、Atlasのエクスペリエンスが「10倍優れている」わけではなく、Googleはその機能を簡単にコピーできるため、新しいブラウザが大幅な市場シェアを獲得するのは難しいと主張した。
最終的に、OpenAIは困難な状況を乗り切ることになる。 二正面戦。一方では、ユーザーの習慣に対する Google の締め付けを打破できるほど魅力的な製品を提供する必要があります。
他方では、前例のないリスクを伴う新しいコンピューティング パラダイムのセキュリティを開拓する必要があります。同社がユーザーの信頼を築くために取り組んでいる中、より広範なセキュリティ コミュニティがそのあらゆる段階を監視し、テストすることになります。
