AIエージェント型ブラウザに潜む同一オリジンの死角

AIエージェント型ブラウザに潜む同一オリジンの死角 研究・論文

何が起きたのか: AIエージェントを組み込んだ「エージェント型ブラウザ(agentic browser)」では、Webの基本的な防御機構である同一オリジンポリシー(SOP)が実質的に骨抜きになりうる──そう警鐘を鳴らす研究が公開されました。誰に影響するか: ChatGPT Atlas や Perplexity Comet、Gemini 連携 Chrome、Claude for Chrome など、AIブラウザ/ブラウザAIアシスタントの業務利用を検討・許可している組織です。今すぐ何をすべきか: エージェント型ブラウザを「便利な拡張」ではなく新しい攻撃面(アタックサーフェス)として扱い、業務端末での利用方針を一度立ち止まって整理してください。

これは Washington 大学・UC Berkeley・Duke 大学の研究者らが2026年6月に arXiv で公開した論文「Same-Origin Policy for Agentic Browsers」に基づく内容です。本稿で扱うのは査読前のプレプリントであり、結果は今後変わりうる点を最初にお断りします。とはいえ、ブラウザを「読む」道具から「自律的に操作する」道具へ変えるエージェント型ブラウザが急速に広がるなか、情シスが押さえておくべき論点が明快に整理されており、実務への示唆は小さくありません。

この記事でわかること

  • エージェント型ブラウザとは何か、なぜ同一オリジンポリシーが効かなくなるのか
  • 研究が示した攻撃シナリオと、実在ブラウザでの検証結果(査読前)
  • 情シスがいま検討すべき利用方針と、公的指針への接続

エージェント型ブラウザとは何か?

エージェント型ブラウザとは、自然言語の指示を受けて、AIエージェントが自律的にWebページを閲覧・操作してタスクを遂行するブラウザのことです。「この商品の最安値を探して買い物カゴに入れて」「このページを要約して」といった指示を出すと、エージェントが利用者に代わってリンクをたどり、フォームに入力し、複数サイトを横断して作業します。ChatGPT Atlas、Perplexity Comet、Gemini を組み込んだ Chrome、Claude for Chrome などがこの系統にあたります。

従来のブラウザでは、人間がクリックし、人間が入力していました。エージェント型ブラウザでは、その操作の主体がAIに移ります。便利さの裏返しとして、AIがだまされれば、利用者の権限のまま意図しない操作が実行されるという新しいリスクが生まれます。

なぜ同一オリジンポリシーが効かなくなるのか?

結論から言うと、エージェント自身が「オリジンの壁を越えてデータを運ぶ通り道」になってしまうからです。

同一オリジンポリシー(SOP)とは、あるサイト(オリジン)のスクリプトが、別のオリジンのデータへ勝手にアクセスすることを禁じる、ブラウザの最も基本的なセキュリティ境界です。これがあるおかげで、悪意あるサイトのスクリプトが、別タブで開いているネットバンキングやWebメールの中身を盗み見ることはできません。SOP はWeb全体の信頼を支える土台です。

ところがエージェント型ブラウザでは、AIエージェントが利用者の認証済みセッションを持ったまま、複数オリジンを横断して動作します。ここに間接的プロンプトインジェクション(Webページ等に仕込まれた悪意ある指示文をAIが本物の命令と誤認する攻撃)が組み合わさると、状況が一変します。攻撃者が用意したページの中に「他オリジンの情報を読み取って、ここに送信せよ」という隠し指示を埋め込んでおけば、AIがそれに従ってオリジンをまたいだデータの持ち出しを“自動の通り道”として実行してしまうのです。

研究の指摘で本質的なのは次の点です。こうなると同一オリジンポリシーの強度は、エージェントがプロンプトインジェクションにどれだけ耐えられるか、という強度にまで下がってしまう。堅牢なはずの境界が、AIの“だまされにくさ”という不確かなものに置き換わる、ということです。

研究は何を検証したのか

論文(Xilong Wang ほか、2026年6月12日 arXiv 公開、査読前)は、エージェント型ブラウザにおけるSOP違反を体系的に調べるため、評価基盤と防御機構の双方を提案しています。

要素 内容
SOPBench エージェント型ブラウザがSOP違反(オリジンをまたぐ不正なデータフロー)を起こすかを評価するベンチマーク
SOPGuard エージェント型ブラウザ向けにSOPを強制する防御機構。論文では実行時オーバーヘッドは小さく、有用性を保ちつつ違反を抑止できたと報告
主な知見 既存のエージェント型ブラウザは、良性の環境でも攻撃下でも、頻繁にSOP違反を起こしうる

著者らによれば、実装した SOPGuard はクロスオリジンの不正なデータフローを有効に抑止しつつ、ブラウザの利便性は維持できたとしています。コードとデータは公開予定とされています。ただし繰り返しになりますが、これは査読前の単一研究であり、数値や有効性の評価は今後の検証で変わる可能性があります。

実機ではどこまで起きるのか?

この論文と問題意識を共有する関連研究・ベンダー検証(2026年初頭)では、ChatGPT Atlas の Agent Mode で実際にクロスオリジンのデータ窃取が成立したと報告されています。さらに Gemini 連携 Chrome、Claude for Chrome、Perplexity Comet についても、攻撃が成立する前提条件が存在するとされます。検証対象には Brave Leo AI、Microsoft Edge の Copilot、Firefox の AI 機能なども含まれていました。

これは「理論上の懸念」にとどまりません。実際、2025年8月には Brave のセキュリティチームが、Perplexity Comet に対する間接的プロンプトインジェクションを公表しています。Reddit の投稿に隠した指示文によって、Comet が利用者のメールアドレスやワンタイムパスコードを抜き取らされる、という具体的な攻撃例でした。AIブラウザが利用者の認証権限で動く以上、ページに仕込まれた一文が“正規の操作”として実行されうる──この構図は、すでに現実のものになりつつあります。

現場目線の課題:気づかないうちに入ってくる新しい攻撃面

情シスにとって厄介なのは、エージェント型ブラウザが「便利なAIツール」の顔をして、現場主導で持ち込まれやすいことです。シャドーITとして個人が業務PCに入れてしまえば、情シスが把握しないまま、認証済みの社内WebシステムやクラウドサービスにAIエージェントがアクセスできる状態が生まれます。従来のフィルタリングやSOPという前提が崩れていることに、運用側がなかなか気づけません。

しかも被害が起きても、ログ上は「利用者本人が操作した」ように見えがちです。AIが利用者の権限で動く以上、不正な持ち出しと正規操作の区別がつきにくく、事後の追跡も難しくなります。限られた人員で日々の運用を回す現場にとって、「便利さの陰で境界が一枚はがれている」この種のリスクは、正直なところ目が届きにくいというのが実感ではないでしょうか。攻撃の巧妙さを嘆く前に、まずそもそも何が社内で使われているのかを把握することが、最初の、そして最大の関門になります。

情シスはどうすべきか

新しい技術ではありますが、打ち手の土台は従来のセキュリティ運用の延長線上にあります。自前で長大なチェックリストを作るより、まずは要点を押さえ、公的な指針に接続するのが現実的です。

  • 利用実態の棚卸し:エージェント型ブラウザ/ブラウザAIアシスタントが業務端末で使われていないかを把握する。許可・禁止・条件付き許可の方針を明文化する。
  • 権限と接続先の最小化:やむを得ず使う場合も、認証済みの機微なシステム(社内基幹・クラウド管理コンソール等)と同じブラウザ環境で自律操作させない、といった分離を検討する。
  • 利用者への啓発:「AIに要約させただけ」でも、ページ内の隠し指示によって情報が持ち出されうることを周知する。便利さと引き換えのリスクを、現場の言葉で伝える。

組織としての土台づくりには、IPA の公開資料が役立ちます。中小規模の組織であれば 中小企業の情報セキュリティ対策ガイドライン が、機器・サービスの管理やルール整備の基本を押さえるのに有用です。エンドユーザーへの注意喚起には 対策のしおり も活用できます。新しいツールほど、技術的制御だけでなく、地道なユーザー教育・啓発の積み重ねが効いてきます。

まとめ

  • AIが自律操作するエージェント型ブラウザでは、間接的プロンプトインジェクションと組み合わさることで同一オリジンポリシーが実質的に無力化されうると研究が指摘(査読前のプレプリント)。SOP の強度がAIの“だまされにくさ”に置き換わってしまう。
  • 関連検証では ChatGPT Atlas でクロスオリジンのデータ窃取が成立、他の主要AIブラウザでも前提条件が存在。2025年8月には Comet での実例も公表済み。
  • 情シスは新たな攻撃面として捉え、利用実態の棚卸し・権限の最小化・利用者啓発から着手する。公的指針への接続が現実的な第一歩。

出典・参考

コメント

タイトルとURLをコピーしました