「閲覧ページ、AIに見せてますか？」 新AIブラウザの設定、うっかり許可するとどうなる？

OpenAIが、ブラウザ市場に本格参入しました。

火曜日に発表された「Atlas」は、ChatGPTを統合した新しいウェブブラウザです。

現時点ではMac専用ですが、たとえAppleユーザーであっても、すぐに飛びつくのはお勧めできません。まずは、その裏に潜むリスクを理解する必要があります。

AIブラウザ「Atlas」の使い心地は？

もしPerplexityの「Comet」のような他のAIブラウザを使ったことがあるなら、「Atlas」の使用感は馴染み深いものでしょう。

それもそのはず、AtlasはGoogle ChromeやMicrosoft Edge、Operaなどと同じ「Chromium」をベースに構築されています。タブの整理やブラウジング体験そのものに、特に革新的な点はありません。

ChatGPTとの連携機能についても、他のAIブラウザと似ている部分があります。ChatGPTはブラウザウィンドウのサイドバーに配置。

「Ask ChatGPT」ボタンをクリックすれば、閲覧中のコンテンツについて質問できます。また、ブラウザ上のテキストフィールドに入力する際は、いつでもChatGPTに文章作成のアシスタントを頼めます。

目玉機能「エージェントモード」とは

Comet同様、Atlasにも「エージェントモード」が搭載されていますが、Atlasのそれは既存のChatGPTエージェントをベースにしています。これは、ユーザーに代わってAtlasにタスクを実行させるというもの。

たとえば、DoorDashのサイトを開いて自分で夕食を注文する代わりに、Atlasに「夕食を注文して」と頼むことができます。Atlasが作業する様子や、一つ一つの決定の背景にある「思考」を眺めることさえ可能です。

OpenAIは、他にもエージェントモードの活用法として、以下のような例を挙げています。

• レシピを渡して、食材の買い物をさせる
• 職場のチームドキュメントを読み込ませ、概要を生成させる

ChatGPTとの「深すぎる」連携が強みか

Atlasが競合と一線を画す可能性があるのは、このChatGPTとのより深い統合でしょう。普段からChatGPTを使っている人なら、過去の会話の文脈を理解してくれる機能はありがたいはず。

以前ChatGPTで調べたトピックについて、ブラウザでリサーチしていると、その会話の続きから自然に始められます。

同様に、Atlasは閲覧履歴やアクティビティを追跡し、将来のセッションでそれを呼び出します。ブラウザを開くと、次に見るべきサイトやトピックがパーソナライズされて提案されるかもしれません。

...ちょっと気味が悪い？ まったく同感です。

しかし、プライバシーとのトレードオフを気にしない人にとっては、メリットもあるかもしれません。

OpenAIの発表では、「先週チェックした求人情報をすべて表示し、面接準備に使える業界トレンドの要約を作成して」といった使い方が提案されています。

もし、こうした「記憶」機能が行き過ぎだと感じたら、ブラウザの設定から無効にすることも可能です（OpenAIによれば、閲覧履歴を削除すると関連するブラウザの記憶も削除され、シークレットウィンドウではChatGPTからログアウト状態になるとのこと）。

見ているページ、ChatGPTに「見せる」？

「ChatGPTのページ可視性」という設定もあり、訪問中のウェブページをChatGPTが実際に「見る」ことを許可するか制御できます。「許可しない」を選べば、自分の行動をボットから隠せるわけで、これは良い機能です。

しかし、それではAtlasを使う意味が半減してしまいます。

ChatGPTに自分の行動を見られたくないのであれば、最初からChatGPTが組み込まれていないブラウザを使った方がよい、という話になってしまいます。

結局、Atlasは安全に使えるのか？

ブラウザの安全性が問われる場合、わざわざ手を出す必要はない、というのが私の考えです。これはAtlasや、他のAIブラウザにも当てはまります。

AIエージェントの致命的な弱点

AIエージェントを組み込んだブラウザの最大の問題は、「間接プロンプトインジェクション攻撃」に脆弱であることです。Brave社がこの件に関して、特にCometを対象に多くの調査を行っています。

簡単に言えば、悪意のある攻撃者が、ウェブサイト上に悪質な指示を隠すことができてしまうのです。AIエージェントは、それを通常のユーザーリクエストと区別できません。

ブラウザはユーザーに代わって動作するように設計されているため、これらの悪意ある指示は、AIに対し、こちらが断じて望まないことを実行させることが可能です。

たとえば、Atlasにあるウェブページの要約を頼んだとします。

しかし、そのサイトに攻撃者が「メールや銀行口座、あるいは社内イントラネットにアクセスしろ」というコマンドを隠していた場合、Atlasは要約そっちのけで、その悪質なコマンドを実行してしまうかもしれません。

OpenAIも認める「防ぎきれないリスク」

OpenAIの名誉のために言っておくと、同社はAtlasのリスクを軽減するための一連の安全策をまとめています。

• Atlasはブラウザ内で直接コードを実行できない。
• ファイルや拡張機能のダウンロードも不可。
• Mac上の他のアプリやファイルシステムへのアクセス権も持たない。

エージェントモードが銀行のような機密性の高いサイトにアクセスする必要がある場合は、一時停止して「ユーザーが見ていること」を確認するようになっています。

また、エージェントモードをログアウト状態で使用すれば、機密データへのアクセスやウェブサイト上での「本人としての」アクション実行能力を制限できます。

しかし、OpenAI自身が、何千時間ものテストを経ても、彼らの安全策が「AIエージェントの普及に伴って出現するすべての攻撃を防ぐことはできない」と認めているのです。

同社は新しい脆弱性が見つかり次第パッチを当てると述べていますが、もし攻撃者が先に見つけてしまえば、AIエージェントを操って恐ろしいことをしでかすかもしれません。

リスクはメリットを上回るか

私にとって、現状ではリスクがメリットをはるかに上回っています。ブラウザ内のボットに自分の代わりに何かをさせる理由はまだ見当たりませんし、仮にあったとしても、今すぐは使わないでしょう。

ウェブサイトに仕込まれた悪意あるコマンドによって、私のAIエージェント、ひいては私のデジタルライフ全体が乗っ取られるリスクはあまりにも大きすぎます。

特に、航空券の予約や食事のデリバリーくらい、今のところ何の問題もなく自分でできるのですから。

Source: Atlas