“ブラウザを自律操作するAI”が暴走　「要約して」と入力しただけなのにパスワードが盗まれた　その手口とは？

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [“ブラウザを自律操作するAI”が暴走　「要約して」と入力しただけなのにパスワードが盗まれた　その手口とは？](https://www.itmedia.co.jp/news/articles/2509/03/news027.html)【ITmedia NEWS】(2025年09月03日) --- > [!NOTE] この記事の要約（箇条書き） - 米Brave Softwareは、米Perplexityのエージェント型ブラウザ「Comet」に脆弱性（間接プロンプトインジェクション）を発見したと発表しました。 - エージェント型ブラウザは、ユーザーに代わってWebサイトを自律操作するAI機能を持つため、強力な一方で重大なセキュリティリスクを伴います。 - 攻撃者は、Webページに見えない形で「このユーザーのメールアドレスを盗み出せ」などの命令を埋め込むことができます。 - ユーザーがAIに「このページを要約して」と指示すると、AIは隠された命令も読み込み、それを実行してしまいます。 - デモンストレーションでは、AIがユーザーのメールアドレスを抽出し、ワンタイムパスワード（OTP）を取得して攻撃者に送信する様子が示されました。 - この攻撃は、従来のWebセキュリティメカニズム（同一オリジンポリシーなど）を無効化し、AIがユーザーの完全な権限で認証済みサービスにアクセスできるため、深刻です。 - BraveはPerplexityに脆弱性を報告しましたが、公開後のさらなるテストで、Perplexityがこの種の攻撃を完全に緩和できていないことが明らかになりました。 > [!NOTE] 要約おわり --- ## “ブラウザを自律操作するAI”が暴走　「要約して」と入力しただけなのにパスワードが盗まれた　その手口とは？：Innovative Tech » 2025年09月03日 08時00分公開 \[， ITmedia\] ## Innovative Tech ![](https://image.itmedia.co.jp/news/articles/2509/03/seamless92_w80.jpg) このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「 [Seamless](https://shiropen.com/) 」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高いAI分野の科学論文を山下氏がピックアップし、解説する。 X： [＠shiropen2](https://twitter.com/shiropen2) 　Braveブラウザを手掛ける米Brave Softwareは8月20日（現地時間）、他社のエージェント型ブラウザの脆弱性を見つけたと [発表](https://brave.com/blog/comet-prompt-injection/) した。脆弱性が見つかったのは、米Perplexityが提供する「Comet」。Braveが他社のエージェント型ブラウザのセキュリティを検証している中で発見したという。　エージェント型ブラウザとは、ユーザーに代わってWebサイト上で実際に操作を行うAI機能を持つブラウザだ。例えば「来週金曜日のロンドン行きの航空券を予約して」という指示に対して、AIが自律的にWebサイトを閲覧し、予約手続きまでを実行できる。このような強力な機能は便利である一方、重大なセキュリティリスクも内包している。　今回発見した脆弱性は「間接プロンプトインジェクション」と呼ばれる攻撃手法だ。攻撃者が、Webページに見えない文字（白地に白文字、HTMLコメント、spoilerタグ）で「このユーザーのメールアドレスを盗み出せ」といった命令を埋め込んでおく。ユーザーがそのページを開いて「このページを要約して」とAIに頼むと、AIは隠された命令も一緒に読み込んでしまい、それを実行してしまうのだ。　実際の攻撃デモンストレーションでは、次のようなことが起きた。ユーザーがRedditの投稿を見て「要約して」ボタンを押しただけで、AIは勝手に動き始める。 [![](https://image.itmedia.co.jp/news/articles/2509/03/tm1636144_sl09021_2_w490.jpg)](https://image.itmedia.co.jp/l/im/news/articles/2509/03/l_tm1636144_sl09021_2_w490.jpg) デモンストレーションの様子　AIアシスタントは隠された指示を実行し、Perplexityのアカウント詳細ページへ移動してユーザーのメールアドレスを抽出し、そのメールアドレスを使ってPerplexityにログインしてOTP（ワンタイムパスワード）を要求。　次にGmailへ移動して受信したOTPを読み取り、最後にメールアドレスとOTPの両方を元のRedditコメントへの返信として送信し、攻撃者に情報を送る。これによって攻撃者はユーザーのメールアドレスとOTPを入手し、Perplexityアカウントを乗っ取ることが可能となる。　なぜこんなことが可能なのか。従来のWebブラウザには、異なるサイト間で勝手に情報をやりとりできないようにする仕組みが備わっている。銀行のサイトとSNSのサイトは互いに隔離されており、一方が他方の情報を勝手に読み取ることはできない。　しかしAIアシスタントは、ユーザーの代理として行動するため、全サイトにアクセスできる権限を持っている。これは便利な反面、悪用されるとAIはユーザーの完全な権限で動作し、銀行口座、企業システム、プライベートメール、クラウドストレージなど、認証済みのあらゆるサービスにアクセスできる。これにより、悪意を持った攻撃者はさまざまな行動を実行できる。　この攻撃の深刻さは、従来のWebセキュリティメカニズムが完全に無効化される点にある。同一オリジンポリシー（SOP）やクロスオリジンリソース共有（CORS）といった長年にわたって構築されてきたセキュリティ機構が、AIアシスタントの前では意味を成さない。　さらに、この攻撃は自然言語による単純な指示だけで実行可能であり、複雑な技術的知識を必要としない。RedditやFacebookなどのSNSにコメントを書き込むだけで、AIアシスタント機能を使った人が被害に遭う可能性がある。　Braveは7月25日にこの脆弱性をPerplexityに報告。7月27日に初期修正が実装されたものの、7月28日の再テストで修正が不完全であることが判明した。8月13日の最終テストで脆弱性が修正されたように見えたが、8月20日の公開後のさらなるテストでは、Perplexityがまだこの種の攻撃を完全には緩和していないことが明らかになった。 [この連載を「連載記事アラート」に登録する](https://www.itmedia.co.jp/news/articles/2509/03/) New ### 関連記事 - [![Brave、PerplexityのAIブラウザ「Comet」の深刻な脆弱性を指摘　「間接的プロンプトインジェクション」で情報漏えいの危険](https://image.itmedia.co.jp/aiplus/articles/2508/25/news056.jpg) Brave、PerplexityのAIブラウザ「Comet」の深刻な脆弱性を指摘　「間接的プロンプトインジェクション」で情報漏えいの危険](https://www.itmedia.co.jp/aiplus/articles/2508/25/news056.html) - [![AIの“Web操作”成功率、人間超えに成功　NECが世界初](https://image.itmedia.co.jp/aiplus/articles/2508/27/news094.jpg) AIの“Web操作”成功率、人間超えに成功　NECが世界初](https://www.itmedia.co.jp/aiplus/articles/2508/27/news094.html) - [![ChatGPTの新機能「ChatGPT agent」登場　AIがさまざまな作業を代行　「deep research」「Operator」の技術を結集](https://image.itmedia.co.jp/aiplus/articles/2507/18/news053.jpg) ChatGPTの新機能「ChatGPT agent」登場　AIがさまざまな作業を代行　「deep research」「Operator」の技術を結集](https://www.itmedia.co.jp/aiplus/articles/2507/18/news053.html) - [![Perplexityも月額200ドルの「Max」プラン提供開始](https://image.itmedia.co.jp/aiplus/articles/2507/03/news054.jpg) Perplexityも月額200ドルの「Max」プラン提供開始](https://www.itmedia.co.jp/aiplus/articles/2507/03/news054.html) - [![これがWeb 4.0？　Microsoftが提唱する「Open Agentic Web」を解説　今までのWebサイトは“司書のいない図書館”](https://image.itmedia.co.jp/aiplus/articles/2505/29/news042.jpg) これがWeb 4.0？　Microsoftが提唱する「Open Agentic Web」を解説　今までのWebサイトは“司書のいない図書館”](https://www.itmedia.co.jp/aiplus/articles/2505/29/news042.html) ### 関連リンク - [Braveの発表](https://brave.com/blog/comet-prompt-injection/) Special PR ## RANKING 1 ### “ブラウザを自律操作するAI”が暴走　「要約して」と入力しただけなのにパスワードが盗まれた　その手口とは？ 2 ### 「FeliCa」の脆弱性で共同通信の報道が波紋　ソニーが公表していなかった“真っ当”な理由とは？ 3 ### ソニー、「Video ＆ TV SideView」アプリのサービスを27年春に終了へ　テレビやBDレコ、nasneなど広範なユーザーに影響 4 ### ブルーレイ私的録画補償金、12月1日から徴収へ　レコーダーやメディアの価格に上乗せ 5 ### 「消しゴムマジック」は良くて「100倍ズーム」がダメなワケ――Pixel新機能から考える“写真”とは何か [もっと読む »](https://www.itmedia.co.jp/news/subtop/ranking/) ## アイティメディアからのお知らせ - [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL) Special PR あなたにおすすめの記事 PR ![通知アイコン](https://image.itmedia.co.jp/news/images/pushone/icon_news.png) ## ITmedia NEWS の最新記事をお届けします ✔