概要
https://brave.com/blog/comet-prompt-injection/
詳細内容
## Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet
https://brave.com/blog/comet-prompt-injection/
エージェント型ブラウザは、従来のWebセキュリティ対策を無効化する「間接プロンプトインジェクション」攻撃に脆弱であり、ユーザーの機密データ漏洩リスクを警告している。
**Content Type**: Research & Analysis
**Scores**: Signal:5/5 | Depth:5/5 | Unique:5/5 | Practical:5/5 | Anti-Hype:5/5
**Main Journal**: 100/100 | **Annex Potential**: 100/100 | **Overall**: 100/100
**Topics**: [[Agentic Browser Security, Indirect Prompt Injection, Web Security Vulnerabilities, LLM Security, Data Exfiltration]]
BraveがPerplexity Cometで発見した間接プロンプトインジェクションの脆弱性は、エージェント型AIブラウザにおける新たな深刻なセキュリティリスクを浮き彫りにしています。この攻撃は、Webコンテンツ(例えば、ソーシャルメディアのコメント欄に隠された命令)を悪用し、AIアシスタントにユーザーの意図しない行動を実行させるものです。従来の同一オリジンポリシー(SOP)やクロスオリジンリソース共有(CORS)といったWebセキュリティ対策が通用しないため、AIアシスタントがユーザーの認証済みセッション(銀行口座、メール、企業システムなど)の権限を悪用し、保存されたパスワードや機密データを窃取し、攻撃者制御のサーバーへ送信するといった、ブラウザ全体にわたる大規模なデータ漏洩につながる可能性があります。
具体的には、ユーザーが「このページを要約して」と指示すると、AIはページの信頼できない内容に隠された悪意のある命令も、ユーザーからの指示として解釈し実行してしまいます。これにより、Perplexityアカウントのメールアドレスとワンタイムパスワード(OTP)をGmailから読み取り、Redditのコメントへの返信として外部に漏洩させるデモンストレーションが示されました。
Webアプリケーションエンジニアにとって、これはAIエージェント機能を組み込む際のセキュリティ設計に抜本的な見直しが迫られることを意味します。記事では、以下の緩和策が提案されています。
1. ブラウザがユーザーの指示とWebコンテンツを明確に区別し、コンテンツを常に信頼できないものとして扱う。
2. モデルがタスク実行前にユーザーの意図との整合性を確認する。
3. セキュリティ上重要なアクション(メール送信など)には、常に明示的なユーザーの承認を求める。
4. エージェント型ブラウジングを通常のブラウジングから完全に分離し、権限を最小限に抑える。
この脆弱性は、AIがWeb上で自律的に動作する能力を持つにつれて、セキュリティとプライバシーを設計段階から考慮することの重要性を強調しています。将来のAI駆動型開発において、安全なエージェント型ブラウジング環境を構築するための、新たなセキュリティアーキテクチャの確立が急務です。