2025年10月21日、OpenAIはChatGPTを核とした新ブラウザー「ChatGPT Atlas」を発表しました。これは、以前本コラムで取り上げた「AIブラウザー戦争」の本格化を告げる象徴的な出来事と言えます。
入力欄にキーワードを入れて検索結果から正解を探す従来のWeb利用から、「目的を伝えるとAIが代わりにWebを移動し実行する」という大きな転換が訪れています。
しかしその裏側では、これまで存在しなかったAIがWebを操作すること自体が攻撃経路になるという深刻な脆弱性も浮き彫りになりつつあります。特に懸念されているのが、「プロンプトインジェクション」という攻撃手法です。
本記事では、Atlasがもたらす進化と、その裏側に潜むリスク、そして現時点で必要な対策を整理します。
「探す」から「実行する」へ:ChatGPT Atlasが変えるWeb体験
ChatGPT Atlasは、単にブラウザーにチャットウィンドウを追加した製品ではありません。その狙いは、AIをWeb利用の中心に据えたWeb体験の根本的な再設計です。
従来のブラウザーとAtlasとの本質的な違いは、その役割の転換にあります。
|
観点 |
従来のブラウザー |
ChatGPT Atlas |
|
|
ユーザーの役割 |
情報を自ら探し、読む、操作する |
目的を言語で伝えると、AIが代行する |
|
|
中心 |
ページ / リンク |
タスク / 意図(インテント) |
|
|
操作 |
クリック・タイピングが基本 |
自然言語の指示で完結 |
|
|
情報処理 |
人間が読んで理解 |
AIが読んで理解して返す |
|
|
記憶 |
履歴、オートフィル |
ブラウザーメモリで文脈を永続活用 |
|
|
自動化 |
拡張機能に依存 |
ブラウザー自体がエージェント機能を持つ |
|
人がWebを動くのではなく、AIがWebを動き、人に結果を届ける時代に向かっていると言えます。
Atlasが実現する新しいWeb体験は、主に以下の3つの革新的な機能によって支えられています (尚、現在提供されているAtlasはmacOS 版で、Windows、iOS、Android 用のバージョンは現在開発中で、近日中に公開予定)。
ChatGPT Atlasの3つの特徴: Webは「探す場所」から「AIが動く場所」へ
1. 会話そのものが操作になる(自然言語インターフェース)
Atlasでは、画面操作を行わなくても、文章で指示するだけでWeb操作を進められます。
- 「このページの要点をまとめて」
- 「関連する統計を調べて」
- 「この商品レビューを比較して」
検索/読解/整理がチャット内で完結します。作業の生産性は一気に高まります。
2. 文脈が蓄積されるWeb(ブラウザーメモリ)
ユーザーの許可があれば、Atlasは過去の閲覧情報を記憶し、回答の精度を高めます。
- 先週の調査内容を踏まえて再提案
- 過去の比較観点を引き継ぐ
「毎回ゼロから説明する」必要がなくなります。
3. 自動実行(エージェントモード)
Atlasの最も重要な進化です。AIがユーザーの代わりにWebを操作し、作業を実行します。(*エージェントモードは Plus、Pro、Business ユーザー向けにプレビュー版としてリリースされており、無料ユーザーは使えません)
例:
「出張日程に合わせてホテルと交通手段を予約して」
AIが「検索 → 比較 → 入力 → 完了」まで一貫して代行します。そしてこの機能こそが、新たなリスクの源泉になっています。
AIが
- ユーザーの権限のまま
- 認証済みのWebを
- 自動で操作できる
つまり、AIが攻撃者の手先になった瞬間、被害は本人の操作として成立してしまうということです。この脆弱性が「プロンプトインジェクション」です。
プロンプトインジェクションとは?
プロンプトインジェクションとは、AIが読み取るテキストの中に悪意ある命令を忍び込ませ、AIの動作を攻撃者の意図通りに誘導するものです。
大規模言語モデルは「自然言語を柔軟に解釈する」能力を持つ一方で、
- それがただの文章なのか
- 命令として実行すべき指示なのか
を厳密に区別することが苦手です。
そのため、AIがWebページを読み込む際、そこに埋め込まれた指示をユーザーからの指示と誤認して実行してしまう可能性があります。
特に重要なのは、この脆弱性はAIの言語理解という構造的な特性そのものから生じている点です。悪意ある命令が存在するだけで、AIの挙動が簡単に書き換えられてしまうのです。
そしてAtlasのように、AIがブラウザーを通じて
- Webを自由に移動し
- ユーザーの認証状態を引き継ぎ
- 自動で操作を実行できる
仕組みの場合、攻撃に悪用できる範囲が広がり、リスクの大きさも高まります。
実際の脅威事例:すでに攻撃が成立している
プロンプトインジェクションの脅威は、理論上のリスクにとどまりません。すでにChatGPT Atlasや競合のAIブラウザーで攻撃が実証されています。以下では代表的な2つのケースを紹介します。
1. ChatGPT Atlasの「Tainted Memories (メモリ汚染)」
セキュリティ企業LayerXが報告した手法では、CSRF(Cross-Site Request Forgery)— ユーザーがログイン状態であることを悪用し、意図しないリクエストを偽造・送信させる攻撃—の仕組みを用いて、ChatGPTのメモリに悪意ある命令を永続的に書き込むことが可能でした。
攻撃のステップ
- ユーザーを悪意あるページに誘導
- ログイン状態のまま不正リクエストが送信される
- 攻撃者が埋めた命令がChatGPTのメモリに保存される
- 通常操作の中で命令が遅延発火して被害が発生
2. Perplexity Comet — OTP(ワンタイムパスワード)を狙った乗っ取り
別の研究では、ユーザー生成コンテンツに隠し命令を埋め込み、CometのAIアシスタントを介してPerplexityアカウントのOTPを取得する手口が示されました。
攻撃のステップ
- 攻撃者がReddit等に悪意ある命令(隠しペイロード)を投稿して埋め込む。
- ユーザーがそのページで「要約」などAI機能を呼び出すと、AIが隠し命令を読み込み実行。
- AIはまずPerplexityのアカウントページからメールアドレスを抽出し、続けてOTP送信を要求する。
- 次にGmailの受信箱を開いて受信したOTPを読み取り、取得したメールアドレスとOTPを外部に送信する。
- 攻撃者はそのメール+OTPでPerplexityアカウントにログインし、乗っ取り完了
これらの事例に共通する教訓は、AIがブラウザー内の権限付きセッションを操作できること自体がリスクを拡大する点です。AIに与えられた能力が強くなるほど、悪用されたときの被害範囲も広がります。
フィッシング防御が弱いAtlas
LayerXの調査では、ChatGPT Atlasはアンチ・フィッシング対策が不十分であり、ChromeやEdgeといった他のブラウザーに比べ、最大90%もフィッシング攻撃に対して脆弱である可能性が指摘されています。つまり、Atlasは、有害なサイトへ誘導されやすく、AIが危険なページを読む機会が増え、プロンプトインジェクション成功率が高いと言えます。
OpenAIによる対策と残る課題
OpenAIも、プロンプトインジェクションを「AIブラウザー最大のリスク」と明言し、防御策の開発を最優先課題としています。
ChatGPT Atlasのエージェント機能は、このリスクを前提に設計されています。
多層防御と安全設計
OpenAIの最高情報セキュリティ責任者(CISO)であるデーン・スタッキー氏は、X(旧Twitter)上で以下のような対策を説明しています。
- レッドチームによる徹底的な侵入テスト:外部専門家がAtlasを実際に攻撃して脆弱性を検証。
- モデルの再訓練:悪意ある命令を検出・無視できるよう、AIモデル自体を改良。
- 多層的なセーフティレール:プロンプトのフィルタリング、挙動監視、異常検知を多段階で実施。
- 攻撃検知システム:プロンプトインジェクション特有のパターンをリアルタイム監視し、ブロック。
さらに、エージェントモード利用時にはユーザー操作を介することで、被害を未然に防ぐ仕組みも導入しています。
安全利用のための運用ルール
OpenAIは、ユーザーがAIに過剰な権限を与えないよう、次のようなガイドラインを設けています。
- 隔離された動作環境
AIエージェントは、他のアプリやファイルシステムから物理的に分離された動作環境で実行される。これにより、AIが誤って外部リソースにアクセスすることを防ぐ。
- 明示的な確認の要求
支払い・送金・個人情報の送信など、リスクの高い操作では必ずユーザー確認を求める。
- 「ログアウトモード」の推奨
信頼できないWebサイトでは、ログイン済みセッション情報をエージェントが利用しないよう制限。たとえばメール確認やSNS操作など、認証情報を扱うタスクは「ログアウトモード」で実行するよう推奨。
- 「ウォッチモード」の導入
機密性の高いサイトでの操作中に、ユーザーがタブから離れようとすると警告が表示され、AIの動作が一時停止する。常に人間が監督できる状態を維持する設計。
それでも残る課題
スタッキー氏はこれらの対策を示したうえで、「プロンプトインジェクションは依然として未解決の最先端セキュリティ課題」と述べています。
AIが自然言語を柔軟に理解するという特性自体が、命令とデータを区別しづらくしているため、完全な防御は現在の技術では不可能だからです。この構造的脆弱性がある以上、防御策は常に攻撃者との「いたちごっこ」であり、ユーザーも安全設定と監視を理解し実践する必要があるといえます。
おわりに
ChatGPT Atlasは、Web操作の主体を人間からAIへ移すという、大きな転換点に立っています。ユーザーは目的を言葉で伝えるだけで、AIが自らWebを移動し、情報を収集し、必要に応じて操作まで代行する。これは、Web体験における利便性を大きく引き上げる進化です。
一方で、AIがユーザーの認証情報を用いて自律的に行動できるようになったことで、ブラウザーが乗っ取られる危険や、機密情報が不正に操作されてしまうリスクも高まっています。プロンプトインジェクションをはじめとする新しい攻撃手法が現実に存在する以上、AIを全面的に信用して任せきるのはまだ早い段階です。
だからこそ現時点では、AIに任せる範囲を適切に見極めることが不可欠です。特にログイン状態で曖昧な指示を与えることは避け、危険性が疑われるページやリンクに安易にアクセスしないなど、人間側の安全意識が求められます。
AIブラウザーの未来は非常に明るい一方で、安全性と利便性の両立を実現するには、技術側の継続的な進化とユーザー側の理解が同時に進む必要があります。私たちが賢く使いこなしていくことが、AIがもたらす恩恵を最大限に引き出す鍵となるでしょう。
▼参考記事
- 「AIブラウザー戦争: Googleの牙城を狙う新世代「AIブラウザー」|イノーバウィークリーAIインサイト -61」
- 「Appleの新Siriはなぜ遅延しているのか?:AIパーソナルアシスタント開発の難しさ|イノーバウィークリーAIインサイト -46」
- 「ChatGPT 搭載のブラウザー、ChatGPT Atlas が登場」OpenAI発表
- 「The glaring security risks with AI browser agents」 TechCrunch
- 「Introducing ChatGPT Atlas」Simon Willison Blog
- OpenAI CSIO デーン・スタッキー氏のx投稿
- 「“ChatGPT Tainted Memories:” LayerX Discovers The First Vulnerability in OpenAI Atlas Browser, Allowing Injection of Malicious Instructions into ChatGPT」LayerXブログ
- 「Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet」Brave社ブログ
