AI ブラウザは決して信用できない一般的な詐欺に引っかかる

2025 年 11 月 6 日午前 9 時 (東部標準時間) に公開

Gavin は、Technology Explained、セキュリティ、インターネット、ストリーミング、エンターテインメント分野のセグメント リーダーであり、Really Useful Podcast の元共同司会者であり、頻繁に製品レビューを行っています。彼はデボンの丘で略奪された現代文章の学位を取得しており、10 年以上の専門的な執筆経験があり、彼の作品は特に How-To Geek、Expert Reviews、Trusted Reviews、Online Tech Tips、Help Desk Geek などに掲載されています。ギャビンは CES、IFA、MWC、その他の技術見本市に出席して会場から直接レポートし、そのプロセスで何十万ものステップを積み上げてきました。彼は、覚えている以上に多くのヘッドフォン、イヤフォン、メカニカル キーボードをレビューしており、大量のお茶、ボード ゲーム、サッカーを楽しんでいます。

サイバーセキュリティについて話すとき、私たちは通常、ハッカーが人々を出し抜くことを想像します。しかし、代わりに AI がクリックを行うとどうなるでしょうか?

ChatGPT Atlas、Opera Neon、Perplexity Comet、The Browser Company の Dia などの新世代の AI ブラウザーはすべて、ユーザーに代わって Web サーフィンを約束します。サイトを読んだり、リンクをたどったり、フォームに記入したり、購入したりすることもできます。これは印象的な未来の垣間見えますが、あることに気づくまでは、人間は常に詐欺に引っかかるということです。では、自動化された AI エージェントが同じ問題に引っかかるのを妨げているのは何でしょうか?

AI ブラウザとエージェントが詐欺に遭う仕組み

AI ブラウザに対する評価は全体的に厳しい

OpenAI の Atlas ブラウザは長い間待ち望まれていたもので、大々的な宣伝とともにリリースされました。しかし、研究者が OpenAI がセキュリティをどれだけ真剣に考えているかを知るためにブラウザに夢中になるまでに時間はかかりませんでした。

結果は期待できるものではありませんでした。セキュリティ会社 LayerX は、ブラウザの公開から数日以内に Atlas に関する 2 つの重大な問題を発見しました。

1 つの脆弱性はプロンプト インジェクションに焦点を当てており、ChatGPT のメモリ機能への悪意のある命令のインジェクションを可能にします。この指示によりリモート コードの実行が可能になり、これは非常に危険です。 LayerX の調査では、Atlas が遭遇した悪意のある Web ページのわずか 5.8 パーセントを阻止したことも判明しました。そのため、90% 以上の場合、タブを閉じて次に進むのではなく、フィッシング ページとやり取りすることになります。

OpenAI とその Atlas ブラウザに公平を期すために言うと、エージェント AI 機能を備えた AI ブラウザのうち、LayerX のテストでパフォーマンスが悪かったのは OpenAI だけではありませんでした。 Perplexity の非常に人気のある Comet AI ブラウザは、フィッシング ページの 7% しか阻止しませんでした。

比較すると、Edge、Chrome、Dia はより多くの攻撃を阻止し、それぞれ 53、47、46% の攻撃を拒否しました。

詐欺行為

セキュリティ調査会社 Guardio も同様の範囲の問題に遭遇しましたが、これは ChatGPT Atlas の発売前でした。その Scamlexity 調査 (素晴らしい名前) では、「エージェント AI ブラウザーがテストされ、クリックし、支払いを行い、失敗しました。」調査会社は、偽の CAPTCHA 画面内にプロンプ​​ト インジェクション攻撃を隠すように設計された、「AI 時代の ClickFix 詐欺」と名付けた「PromptFix」を開発しました。偽の CAPTCHA に目に見えないテキストが埋め込まれているため、自動ブラウジング モードを使用する AI エージェントは簡単にだまされて、製品の購入やファイルのダウンロードなどを行われる可能性があります。

同様に、Perplexity の Comet ブラウザにフィッシングメールを提示すると (受信メールの処理を要求した後)、すぐに侵入され、偽のページにユーザー情報が追加されました。さらに、ユーザーに認証情報の入力を求め、ページが安全であることを宣言しました。

自動操縦中の AI ブラウザが悪質なものをクリックする

AI エージェントは人間には見えない詐欺の影響を受けやすい

大きな問題は、AI ブラウザーとエージェント AI ブラウジングが、私たちが普段行っていることからスイッチを切るよう促すことです。自動化されたシステムに意思決定を依頼していることになりますが、そうすることで、AI モデルが理解できない詐欺について警告する重要な危険信号を見逃してしまう可能性があります。

現時点では、これらの攻撃は主にセキュリティ研究所で発生しており、実際には発生していません。しかし、危険は現実のものであり、急速に増大しています。 AI ブラウザはサイトを表示するだけではありません。また、ログインを処理し、Cookie を保存し、場合によっては接続されたアカウントへのアクセスを保持します。したがって、悪用の可能性は蔓延しており、攻撃者が積極的に悪用しようとしているのは明らかです。

一般人にとっての問題の 1 つは、画面に注意を払っていたとしても、人間の目では常に検出できない詐欺について話していることです。これらの秘密のプロンプト インジェクション攻撃は通常、悪意のあるコマンドを目に見えないところに埋め込むため、事後、詐欺に遭うまで何が起こったのかわかりません。

また、従来のブラウザには、何かが正しくないと思われる場合に警告するアラートやポップアップが表示されますが、自動的にブラウジングする AI エージェントは、これを克服すべき新たな課題とみなす可能性があります。

解決策は 1 つだけです

通常のセキュリティ ツールが常に役立つとは限りません

最新のセキュリティ問題には最新のソリューションが必要であり、自動エージェント ブラウジングを備えた AI ブラウザによって引き起こされる問題には新しいソリューションが必要です。それは、Google セーフ ブラウジングやウイルス対策ツールなどの通常の防御策は、AI がユーザーに代わってリンクをクリックするように設計されていないからです。彼らは間違いなく追いつきつつありますが、それはまだ未知の領域です。

たとえば、研究者が AI ブラウザと標準ブラウザを比較したところ、その違いは明らかでした。 Google のセーフ ブラウジングは既知の不正な URL をブロックできますが、詐欺師が新しいドメイン (「wellsfargo.com」ではなく「wellzfargo-security.com」) を作成すると、AI エージェントはとにかくクリックしてしまいました。彼らはドメイン名を後から推測することはありません。彼らは、ページが銀行ログインのように見えることだけを認識し、律儀に続行します。

さらに悪いことに、プロンプト インジェクション攻撃は URL にまったく依存しません。これらは正規のページまたは PDF 内に存在し、従来のスキャン ツールでは認識できません。

現時点での唯一の本当の解決策は人間による監視です。これにより、ブラウザの完全な自動化という魔法のような感覚が失われますが、実際には、ブラウザがフィッシング詐欺に引っかからないようにするための重要なステップです。

Opera の Neon のような AI ブラウザは定期的に一時停止して人間の入力を求め、計画の次のステップが問題ないか、これまでに完了した作業が許容範囲内であるかを確認します。人間のやりとりのほんの一瞬こそが、エージェント AI ブラウザが詐欺に遭ったり、マルウェアをダウンロードしたり、あるいはそれ以上の問題を軽減するのに役立ちます。

詐欺師にとっては新たな夜明けです

まったく新しい範囲の詐欺に対処できる

AI ブラウザは、詐欺師が誰をだます必要があるのかに変化をもたらしています。ターゲットはもはやあなたではなく、あなたのエージェントです。そして今のところ、そのエージェントはあまりにも信頼しすぎています。

上記で詳細に説明した調査によると、これらのシステムはフィッシング ページの 90% 以上に当てはまり、人が数秒で気づくであろうほぼすべてのソーシャル エンジニアリングの手がかりを見逃していたことが判明したことを考えると、弱点となるのは人間であることが多いとしても、人間による監視が絶対に不可欠であることは明らかです。