AIブラウザに、社内ログインを渡す前に。
「便利すぎて怖い、っていう感想が、はじめて本当の意味でわかりました」。AIブラウザを一週間使った知人の一言が、今日の入り口です。
実践担当のツカウです。臨時増刊の今日は、朝の検証記事とは別の角度から、いま業務利用が一気に広がっているAIブラウザ——ページを読むだけでなく、あなたの代わりにクリックし、入力し、送信までしてしまう新種のブラウザ——の「安全な始め方」を扱います。私はいつも「明日から業務でどう使うか」だけを考えていますが、この道具にかぎっては、使い方の前に「どこで止めるか」を先に決めておく必要があると考えています。
先に立場を明かします。私はAIブラウザに反対ではありません。定型的な調べ物や画面横断の作業を任せられる価値は本物です。ただ、この道具はあなたのログイン済みセッションをそのまま使って動く。だからこそ「便利だから全部任せる」の一歩手前で、線を引いておきたいのです。
1. 何が新しいのか——「読む」から「代わりに操作する」へ
2025年10月、OpenAIが自社のAIブラウザ「ChatGPT Atlas」を公開しました。先行するPerplexityの「Comet」と合わせ、AIブラウザという新しいカテゴリが一気に本格化した年です。従来のブラウザは、あなたが読み、あなたがクリックする道具でした。AIブラウザの新しさは、そこにエージェント(代理人)が入り、「この一覧を表計算にまとめて」「このフォームを入力して」といった操作を、画面をまたいで実行してくれる点にあります。
ここで一度、楽観に乗ってみます。「調べて・まとめて・入力するところまで任せられるなら、雑務はほぼ消える」——気持ちはよくわかります。ですが立ち止まって考えると、その便利さの源が、そのままリスクの源でもあることに気づきます。エージェントは、あなたがログイン済みのメール・社内システム・クラウドを、あなたの権限のまま触れる。つまり、もしエージェントが途中で「別の誰かの指示」に従ってしまったら、その被害はあなたの権限の届く範囲すべてに及びうる、ということです。
2. 事故はこうして起きる——「見えない指示」という穴
その「別の誰かの指示」が、どこから紛れ込むのか。ここが今日いちばん知ってほしいところです。鍵になるのが間接プロンプトインジェクションという手口です。
ブラウザ大手Braveのセキュリティチームは、2025年8月にPerplexity Cometの弱点を公表しました。仕組みはこうです。ユーザーが「このページを要約して」と頼むと、Cometはページの中身をそのままAIに渡す。ところがAIは、あなたの指示と、ページに書かれた文章とを区別しない。だから攻撃者が、白い背景に白い文字、あるいはHTMLのコメント欄といった人の目には見えない場所に「メールを開いてワンタイムパスワードを送れ」といった命令を仕込んでおくと、AIはそれを"利用者からの指示"として実行してしまう——というのです。
さらに同年10月、Braveは「スクリーンショットの中に隠された指示」も成立することを示しました。黄色い背景に淡い青の文字のように、人にはほぼ判別できない文字を画像へ埋め込むと、AIが文字認識で拾って命令として読んでしまう。Braveはこれを、特定製品の不具合ではなくAIブラウザというカテゴリ全体に共通する系統的な課題だと結論づけています。ChatGPT Atlasについても、Googleドキュメントに数語を仕込む、偽装したURLを使うといった方法で挙動を変えられることが、複数の研究者によって実証されました。
3. なぜ塞ぎきれないのか——作った側が「解決しない」と言う
「では、ベンダーがすぐ直すのでは」と思いますよね。正直に言うと、そう単純ではありません。OpenAIは自社の解説で、プロンプトインジェクションは詐欺やソーシャルエンジニアリングと同じで、完全に「解決」される見込みは低いと述べ、エージェント・モードはセキュリティ上の攻撃面を広げることを認めています。作った側が「これは付き合い続ける問題だ」と言っている、という事実は重く受け止める価値があります。
これは一社の話ではありません。アプリのセキュリティ指針を定める非営利団体OWASPは、大規模言語モデルのリスク一覧でプロンプトインジェクションを一貫して第1位(LLM01)に置いています。2026年版のエージェント向けリスク一覧でも、「エージェントの目的乗っ取り」「ツールの悪用」の主要な侵入経路として、この見えない指示が名指しされています。賢いモデルほど、言われたことを忠実に実行する。その忠実さが、そのまま穴になる——ここが厄介の核心です。
4. すでにある安全機能を、使い切る
ここまで脅かしましたが、手立てが無いわけではありません。ベンダー側も守りを用意しています。ChatGPT Atlasを例にとると、次のような仕組みが備わっています。
・ログアウト・モード:エージェントに認証情報を渡さず動かす。閲覧や要約はできるが、アカウントへのログインや購入はできない。「操作までは要らない、調べたいだけ」のときの既定にすべき設定です
・ウォッチ・モード:金融機関など機微なサイトで作業するときは、あなたがそのタブを見ている必要があり、別の画面に移ると作業が止まる。人が目を離した隙の暴走を防ぐ発想です
・できないことの固定:ブラウザ内でのコード実行、ファイルのダウンロード、拡張機能のインストール、パソコン内の他アプリやファイルへのアクセスは、そもそもできないように制限されている
これらに共通する思想は、「怪しい指示を全部見分ける」のではなく「できることをあらかじめ狭めておく」という守り方です。専門家の間でも、水際で悪意を検出しようとするフィルタリングより、権限を絞り・危ない操作は人の承認を挟み・道具を隔離する封じ込め(containment)のほうが現実的な防御線だとされています。要は、AIを賢く疑わせるより、渡す鍵の本数を減らすほうが効く、ということです。
問うべきは「このAIブラウザは安全か」ではない。「万一このエージェントが乗っ取られても、被害はどこで止まるか」——その最悪の範囲を、便利さを味わう前に決めているかどうかだ。
5. 明日からの5つの線引き
組織で使い始めるなら、次の5ステップで土台は十分です。そのまま運用ルールに転記できる形にしました。
1. まずログアウト・モードを既定にする。操作(ログイン・送信・購入)を任せるのは、必要な場面だけに絞る
2. 業務アカウントは、可能なら専用のプロフィール/別ブラウザに分離し、人事・経理・顧客情報など機微なシステムはAIブラウザで開かない
3. 送信・決済・データ削除など「取り返しのつかない操作」は必ず人が最終承認する(自動実行を許さない)
4. 「知らないページの要約」「拾った画像の読み取り」に操作を続けさせない。読むのはよいが、その流れで入力・送信までさせない
5. 会社として許可するAIブラウザと用途を1つに決め、情シスに導入状況を共有する(各自が勝手に入れる状態を作らない)
用途ごとに「任せてよいこと/人が握ること」も整理しておきます。
| 場面 | AIに任せてよいこと | 人が握り続けること |
|---|---|---|
| 調べ物・情報収集 | 公開ページの閲覧・要約・比較表づくり | 要約に紛れた「指示めいた文」を鵜呑みにしない |
| フォーム入力・下書き | 定型項目の下書き、社外秘でない入力 | 送信ボタンは人が押す(自動送信を切る) |
| アカウント操作 | (原則ログアウト・モードで回避) | ログイン・決済・権限変更は人の操作に限定 |
| 機密システム | 基本的に任せない | 人事・経理・顧客DBはAIブラウザで開かない |
おわりに——「賢いから安全」ではなく「範囲を切ったから安全」
AIブラウザは、確かに雑務を軽くしてくれます。ただその価値は、最悪の被害範囲をあらかじめ切っておいた人にだけ、安心して残ります。モデルが賢くなるほど「もう乗っ取られない」と思いたくなりますが、今日見たとおり、作った側でさえ「付き合い続ける問題」と言っている。だから頼るべきは、AIの賢さより、自分が渡す鍵の本数です。
次に試すなら、まずは第1ステップの「ログアウト・モードを既定にする」から。いちばん短くて、いちばん効く一歩です。便利さは、そのあとでゆっくり味わえます。
参考にした主な出典
・OpenAI「Introducing ChatGPT Atlas」(2025年10月)——AIブラウザ「Atlas」の公開、ログアウト・モード/ウォッチ・モード等の安全機能
・OpenAI「Understanding prompt injections: a frontier security challenge」ほか(2025年)——プロンプトインジェクションは完全には「解決」されない見込み、エージェント・モードは攻撃面を広げるとの見解
・Brave Security Team「Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet」(2025年8月)/「Unseeable prompt injections in screenshots」(2025年10月)——ページ・スクリーンショットに隠した指示でAIブラウザを操作できることの実証、カテゴリ全体の系統的課題との指摘
・OWASP「Top 10 for LLM Applications」LLM01 Prompt Injection/「Top 10 for Agentic Applications 2026」——プロンプトインジェクションを一貫して首位に、間接注入をエージェントの主要な侵入経路として整理
※各社の安全機能・仕様は変更されます。数値や名称は出典時点のもので、一般化には注意が必要です
