サイバーセキュリティの専門家らは、OpenAIの新しいブラウザ「ChatGPT Atlas」は悪意のある攻撃に対して脆弱で、AIアシスタントをユーザーに向けて、機密データを盗んだり、銀行口座を流出させたりする可能性があると警告している。
AI 企業は、ユーザーがインターネット上でタスクを実行し、回答を取得できるようにする AI ブラウザーの導入を目的として、火曜日に Atlas を立ち上げました。たとえば、旅行を計画している人は、Atlas を使用してアイデアを検索し、旅程を計画し、航空券や宿泊施設の予約を直接依頼することもできます。
ChatGPT Atlas には、ChatGPT がユーザーの Web ブラウジングの重要な詳細を記憶してチャットの応答を改善し、よりスマートな提案を提供できるようにする「ブラウザ メモリ」や、ChatGPT がユーザーの Web ページ ナビゲーションと対話を引き継ぐことができる実験的な「エージェント モード」など、いくつかの新機能があります。
このブラウザは、ChatGPT をアプリからより広範なコンピューティング プラットフォームに拡張するという同社の広範な取り組みの一環です。また、OpenAI は、Google や Microsoft だけでなく、Comet と呼ばれる独自の AI ベースのブラウザを立ち上げた Perplexity のような新規プレーヤーと、より直接的な競争にさらされることになります。 (Google は、Gemini AI モデルを Chrome ブラウザーにも統合しました。)
しかしサイバーセキュリティの専門家らは、現在のすべてのAIブラウザは、特に「インスタントインジェクション」(機密情報の暴露や有害なアクションの実行など、AIシステムに意図しない動作をさせる悪意のある命令を与える一種の攻撃)に関しては、新たなセキュリティリスクを引き起こすと警告している。
「即時注入には常に何らかの残留リスクが存在します。それが自然言語を解釈してアクションを実行するシステムの性質だからです」と、UCL インタラクション センターの助教授、ジョージ チャルフーブ氏はフォーチュンに語った。 「セキュリティの世界ではいたちごっこのようなものなので、他の脆弱性が出現することも予想されます。」
OpenAIの最高情報セキュリティ責任者であるデーン・スタッキー氏は、次のように投稿した。
「私たちの長期的な目標は、最も有能で信頼できる、セキュリティ意識の高い同僚や友人を信頼するのと同じように、ChatGPT エージェントを信頼してブラウザを使用できるようにすることです」と彼は書いています。 「このリリースでは、私たちは大規模なレッド チーム化を実行し、悪意のある命令を無視するモデルに報酬を与える新しいモデル トレーニング手法を実装し、重複するガードレールと安全対策を実装し、そのような攻撃を検出してブロックするための新しいシステムを追加しました。しかし、急速なインジェクションは依然として未解決のセキュリティ問題であり、敵対者は「ChatGPT エージェントをこれらの攻撃に対して脆弱にする方法を見つけるために多大な時間とリソースを費やすことになります。」
スタッキー氏は、同社はリスクを軽減しユーザーを保護するために、攻撃キャンペーンを迅速に検出してブロックするための迅速な対応システムの構築、モデルの堅牢性とインフラストラクチャ防御を強化するための研究、セキュリティと安全性への継続的な投資など、多くの対策を実施していると述べた。同社には、ChatGPT をアカウント資格情報なしで動作させる「ログアウト モード」や、ユーザーが機密性の高いサイトで操作するときにエージェントを認識して制御できるようにする「監視モード」などの機能もあります。
コメントを求められたとき、OpenAI はスタッキーのコメントをフォーチュンに伝えた。
AI ブラウザが新たな攻撃対象領域を生み出す
数人のソーシャル メディア ユーザーが、ChatGPT Atlas に対するこのタイプのプロンプト インジェクション攻撃の使用に成功した初期の例を共有しています。あるユーザーは、クリップボードの挿入によって Atlas を悪用できる方法をデモンストレーションしました。 Web ページ上のボタンに隠された「クリップボードにコピー」アクションを挿入することで、AI エージェントがユーザーがサイトを移動するときに、ユーザーのクリップボードを無意識のうちに悪意のあるリンクで上書きする可能性があることを示しました。ユーザーが後でこれを貼り付けることに成功すると、フィッシング サイトにリダイレクトされ、MFA コードを含む機密ログイン情報が盗まれる可能性があります。
Brave はまた、Comet では攻撃者がユーザーがスクリーンショットを撮ったときに実行される画像内にコマンドを隠すことができるのに対し、別の Agent AI ブラウザである Fellou では、悪意のある Web ページに移動するだけで AI が有害な指示に従うようトリガーされる可能性があることも発見しました。
「これらの脆弱性は、従来のブラウザの脆弱性よりもはるかに危険です」とチャルフーブ氏は述べています。 「AI システムを使用すると、ユーザーに代わってコンテンツを積極的に読み取り、意思決定を行うことができます。そのため、攻撃対象領域ははるかに大きくなり、事実上目に見えなくなります。以前は、通常のブラウザーを使用していれば、攻撃や感染を受けるためには複数のアクションを実行する必要がありました。」
英国を拠点とするプログラマーのサイモン・ウィリソン氏は、自身のブログでChatGPT Atlasについて「ここに関係するセキュリティとプライバシーのリスクは依然として乗り越えられないほど高いと感じている」と述べた。 「急速なインジェクション攻撃を回避するために Atlas が講じる手順の詳細な説明が知りたいです。現在の主な防御策は、ユーザーがエージェント モードの動作を常に注意深く監視することを期待しているようです。」
ユーザーはデータ共有のリスクを過小評価している可能性があります。
プライバシーとデータ保持に関する疑問もあります。具体的には、ChatGPT Atlas はユーザーにパスワード キーチェーンの共有に同意するよう求めますが、これはブラウザ エージェントをターゲットとした悪意のある攻撃に悪用される可能性があります。
MIT教授でCSAIL主任研究員のスリニ・デヴァダス氏は、「AIアシスタントを便利にしたいなら、AIアシスタントにデータへのアクセスと権限を与える必要がある。攻撃者がAIアシスタントになりすますことができれば、騙されたことになる」と述べた。
デバダス氏は、AIブラウザの主なプライバシー問題は、個人コンテンツがAIサーバーと共有される際に、個人情報や財務情報などの機密ユーザーデータが漏洩する可能性があることだと述べた。同氏はまた、モデルの幻覚によってAIブラウザが誤った情報を提供する可能性があることや、タスクの自動化が有害なスクリプトなどの悪意のある目的に悪用される可能性があると警告した。
「ブラウジングと AI の間の統合レイヤーは、新たな攻撃対象領域です」と彼は言いました。
Chalhoub 氏は、技術者以外のユーザーがこれらのブラウザをダウンロードし、製品にプライバシー機能が組み込まれていると思い込むのが簡単である可能性があると付け加えました。
「これらのブラウザをダウンロードするほとんどのユーザーは、これらのエージェントを使用するときに何を共有しているのか理解していません。Chrome からすべてのパスワードと閲覧履歴を取得するのは非常に簡単です。ユーザーがそれに気づいていないように見えるため、意図的に取得しないことを選択しているだけです」と同氏は述べた。
