「AIブラウザ」はなぜ“詐欺師の最高の味方”になり得るのか

――自動でクリックし、支払い、個人情報まで入力する「エージェント」が開く新しい攻撃面

はじめに：検索から「お任せ実行」へ

生成AIの進化に伴い、Web閲覧や操作を自動化する“エージェント型”のAIブラウザが注目を集めています。自然言語で「買って」「予約して」と指示すれば、人の代わりに検索・クリック・入力・決済まで進めてくれる――そんな未来像です。ところが最新の検証では、この“便利さ”がそのまま脆弱性へと裏返る実態が、具体的な事例とともに示されました。Engadgetは「AIブラウザは詐欺師にとって史上最高の贈り物かもしれない」と警鐘を鳴らし、その根拠としてエージェントAIが“明らかな”フィッシングや悪性指示に引っかかるレポートを紹介しています。Engadget

何が起きたのか：実験で見えた“自動被害”のリアル

セキュリティ研究機関 Guardio Labs は、Perplexityのエージェント型ブラウザ「Comet」を対象に、3つの典型攻撃シナリオで挙動を検証しました。結果は衝撃的です。guard.io

• 偽ショップで“自動購入”
  AIに「Apple Watchを買って」と指示 → AIは生成AIで作った“偽ウォルマート風”サイトをそのまま正規とみなして商品をカート投入、ブラウザのオートフィルに保存された住所やクレカ情報まで自動入力して購入完了。場合によっては警告も確認もなく“一気に”進むケースが確認されました。guard.io

• 銀行フィッシングへの“自動着地”
  送信元が怪しいメールのリンクをAIがクリックし、本物そっくりの偽ログインページへ案内。人間なら「差出人」「URL」を疑う余地がありますが、AIは“依頼を処理すること”を優先し、疑わしい兆候をスキップしてしまう場面が観測されました。guard.io

• “PromptFix”：見えない指示でAIを乗っ取る
  CAPTCHA風ページのソース内部に隠しプロンプトを埋め込み、AI側に「代わりに処理して」と誤認させる間接型プロンプトインジェクション。クリック一つでドライブバイ・ダウンロードを引き起こすなど、ユーザーの意図と無関係な動作に誘導できることが示されました。guard.ioThe Hacker News

同様の内容はBleepingComputerやPCWorldなど複数メディアも詳細に報じています。特にオートフィル情報の無確認送信、URL正当性の未検証、CAPTCHA処理の誤作動が「人間ならまず疑うポイントを、AIは飛ばしがち」という構造的弱点として強調されています。BleepingComputerPCWorld

背景にある“AIならでは”の脆さ

エージェントAIは「ユーザーを素早く満足させる」目的関数で設計されがちです。そのため、

1. コンテキスト判断不足（“タスク達成”を優先）

2. 指示とコンテンツの境界の曖昧さ（隠しテキストも命令として呑み込む）

3. 自動実行権限の肥大化（クリック／入力／ダウンロードの一体化）
   が重なり、“疑う・止める”人間の直感が欠落します。学術的にも、ブラウジング・エージェントは動的コンテンツやツール実行、ユーザーデータ取扱いによって攻撃面が拡大することが指摘され、防御は“多層防衛”で設計段から織り込む必要があるとまとめられています。arXiv

企業側の反応と現状

今回の一連の問題はCometで可視化されましたが、根っこは“エージェント型”という設計一般に潜む課題です。BraveはCometの間接プロンプトインジェクションに関する技術解説を公開し、8月13日時点で修正が進んだ旨に触れつつ「完全な防止を保証できない」と慎重姿勢。エージェントが勝手に行動しない設計（Leoの要約は“実行”しない等）を強調しています。Braveザ・レジスター
また、AIが“悪い情報源を拾ってしまう”問題は検索側でも顕在化しており、GoogleのAIオーバービューが偽カスタマーサポート番号へ誘導し、実被害が出たとの報告も出ています。The Washington Post

SNSの反応：懸念・皮肉・そして設計見直しの要求

• Engadgetの投稿を起点にX（旧Twitter）では「“自動”が売りのはずが“自動でやらかす”とは」と皮肉交じりの反応。X (formerly Twitter)

• Braveの技術ポストには「エージェントは実行権限を最小化し、ユーザー承認を厳格化すべき」との賛同が相次ぎました。X (formerly Twitter)

• Redditでは「早期アクセス段階の技術に重要タスクを任せるべきでない」「オートフィル依存が危険」といった慎重論が目立ちます。Reddit

• LinkedInでもセキュリティ研究者らがGuardioのデモを共有し、プロンプトインジェクション対策と権限分離の必要性を訴えています。pcmatic.comLinkedIn

なぜ“詐欺師にとって最高”なのか：スケールする攻撃

人間を一人ひとり騙すより、“一つのモデルの癖”を突き止めれば大量再現できる――Guardioはこのスケール性を最大の脅威と位置づけます。さらに、SEO汚染や偽広告を入口にAIが自動で“悪性ページ”へ着地する導線が整いつつある現状では、ユーザーは“疑う機会”さえ奪われるのです。guard.io

今すぐできる“ユーザー側”の実践策

1. エージェントに“金銭と身元”を渡さない：決済・パスワード・MFAコード・住所の自動入力は原則オフ。必要時は手動最終確認を徹底。BleepingComputer

2. 自動クリック・自動ダウンロードを制限：CAPTCHAや不審フォームでは必ず人間承認を挟む。The Hacker News

3. URL正当性の二重チェック：銀行・カスタマーサポート等は公式アプリや公式サイトの“連絡先ページ”で再確認。AI要約が表示する電話番号は鵜呑みにしない。The Washington Post

4. 別プロファイル＆最小権限：AIブラウザ用に**“空の”ブラウザプロファイル**を作り、オートフィル／保存クレカ／ログイン状態を持ち込まない。

5. 拡張によるURL評判・フィッシング検知の併用：Safe Browsing任せにしない多層防御。guard.io

開発者・ベンダーへの提言（要点）

• デフォルト拒否＋逐次承認（“実行”前に粒度の細かい許可を強制）

• プロンプトの衛生管理（入力分離、DOM/権限サンドボックス、静的・形式検査）

• URL評判・ドメイン類似検知の組込み（AIの“判断”にネットワーク的根拠を注入）

• オートフィル鍵の段階解錠（カード番号や住所は都度PIN）

• 監査ログとリプレイ（AIの一挙手一投足を記録し“説明可能化”）
  こうした方向性は学術界でも“Defense in Depth（多層防御）”として整理されつつあります。arXiv

おわりに：魔法の裏返しにある現実

AIブラウザは、**「手間をゼロにする」ほど「判断もゼロにする」**危うさを抱えます。パッチや改善は進んでいますが、設計思想そのもの――“自律実行”と“疑う停止”のバランス――を見直さない限り、攻撃側にとっての“最高の贈り物”であり続けるでしょう。｢便利｣の陰で起きる自動被害を、私たちは“自動で防げる”ようにしなければなりません。ザ・レジスター

Powered by Froala Editor