6月30日、University of Washingtonが「Some agentic AI browsers come with major cybersecurity risks, UW study finds」と題した記事を公開した。この記事では、AIエージェント搭載ブラウザの多くが「同一オリジンポリシー」を迂回される重大なセキュリティリスクを抱えているという研究知見について詳しく紹介されている。
7製品中4製品が同一オリジンポリシーを迂回可能
ワシントン大学(UW)の研究チームが、市場に出回っている代表的なエージェント型AIブラウザ7製品を調査した結果、4製品で同一オリジンポリシー(same-origin policy)の迂回が可能な状態であることが判明した。
同一オリジンポリシーは1995年に導入されたブラウザセキュリティの根幹的な仕組みだ。異なるオリジン(スキーム・ホスト・ポートの組み合わせ)に属するWebページが互いの情報にアクセスすることを禁じる。これにより、ユーザーが悪意のあるサイトを開いていても、別タブで開いた銀行サイトの情報は守られる。
UW Allen SchoolのFranziska Roesner教授はこう述べる。
「1990年代のWebでは、悪いサイトを訪れるだけでサイバー攻撃のリスクがあった。この30年でブラウザセキュリティは進化し、どのサイトでも安全に訪問できるようになった。(今回の問題は)その30年分の積み上げから大きく後退している」
ChatGPT Atlasへの実証攻撃に成功
研究チームはChatGPT Atlasに対して概念実証(PoC)攻撃を実際に成立させた。攻撃の仕組みは以下のとおりだ。
メールサイトに広告として埋め込まれた悪意あるページが、ユーザーのメール本文の内容を盗み取るというシナリオで、ポイントは「**プロンプトインジェクション**」にある。悪意あるページのコード中に隠された命令をAIエージェントが実行し、別オリジンの情報を攻撃者のサーバーに送信してしまう仕組みだ。
※元記事中の攻撃命令の具体的な文言は記事本文では明示されていない。上記の説明は攻撃の仕組みを概念的に整理したものであり、引用ではない点に留意されたい。
人間のユーザーなら通常こうした指示には騙されないが、AIエージェントは騙される余地がある。共同シニア著者のDavid Kohlbrenner助教は次のように述べる。
「ある意味、人間に対する攻撃と同じだが、機械向けに最適化されている。AIエージェントのセキュリティ対策は進化しているが、人間なら引っかからない攻撃にまだ脆弱だ」
脆弱性が確認されたのはChatGPT Atlasのほか、Chrome with Gemini、Claude for Chrome、Perplexity Cometの計4製品。一方、エージェントへの権限を絞ったFirefox AI Modeはリスクが最も低かったが、機能も最も限定的だった。
もう一つの脅威:メモリポイズニング
研究では「メモリポイズニング(memory poisoning)」も問題視されている。エージェントはセッションをまたいで処理済み情報を圧縮・保持する設計になっているが、その過程で異なるオリジンの情報が混入するケースが確認された。
Roesner教授はこう説明する。
「あるエージェントは異なるオリジンの情報を混在させていた。おそらくメモリを修正・圧縮していたためだ」
具体的には、あるページに悪意ある指示が埋め込まれていた場合、エージェントはその場では無視できても、一度メモリに収められてオリジン情報が失われた後には、同じ防御が機能しない可能性がある。つまり、プロンプトインジェクションが「その場での実行」を狙うのに対し、メモリポイズニングは「将来のセッションでの実行」を狙う点で性質が異なる。同一オリジンポリシーの迂回とは独立した攻撃経路であり、エージェント型ブラウザに固有の構造的リスクとして研究チームは位置づけている。
各社の反応と現状
研究チームは調査対象のブラウザを開発した各社に結果を通知した。元記事の記述によれば、各社の対応は以下のとおりだ。
- Anthropic・Firefox:返答なし
- Perplexity・OpenAI:報告書を受け取り拒否
- Google・Microsoft・Brave:建設的なやり取りがあった(Roesner教授談)
各社の対応の詳細や背景については、元記事本文および研究プロジェクトページに記載されている情報を直接確認されることを推奨する。
Kohlbrenner助教は率直にこう警告する。
「ブラウザエージェントは公開に値する水準にない。比較的リテラシーの高いユーザーでも、これらのエージェントが認証情報—メール、銀行口座—にアクセスできる状態であれば、信頼すべきではない」
現時点では、ブラウザの機能を維持しながらこれらの問題を解決する明確な方法は存在しない。本研究は2026年4月26日にリオデジャネイロで開催された「Agents in the Wild Workshop」で発表されており、詳細は研究プロジェクトページでも公開されている。なお本研究の一部はMicrosoftからの寄付により資金提供を受けている。
詳細はSome agentic AI browsers come with major cybersecurity risks, UW study findsを参照していただきたい。