既存のセキュリティ対策の限界
SquareXのヴィヴェク・ラマチャンドランは筆者に対し、「Chrome EnterpriseやEdge for Businessといった一般向けブラウザーの企業版は、通常、ブラウザーの強化、つまりブラウザー拡張機能などの特定機能を有効化または無効化することに重点を置いています」と語った。
そして「一部には、ユーザーが訪問できるサイトを制限するホワイトリスト/ブラックリストを作成する機能がある」が、これは事実上「ブラウザーAIエージェントが一部の攻撃の餌食になるのを防ぐのに役立つ」ものの、「OAuth攻撃のような、ブラウザー内の正当な機能を利用する攻撃」には役立たないという。
ラマチャンドランは、「攻撃者はこの機微を理解しており、だからこそブラウザーのアーキテクチャ上の限界を悪用し、ブラウザーの強化やプロキシ層のソリューション(例:SASE/SSE)でも解決できない攻撃が増えています」と述べている。
これらすべてが意味するのは、エージェントを導入する際には、可能な限りブラウザーを安全に保つ必要があるということだ。これを超える保護レベルも存在する。セーフ ブラウジングの「保護強化機能」は、「グーグルの最も安全なブラウジング体験であり、既知および潜在的な新たな危険からのセキュリティを提供する」。これはつまり、「グーグルがまだ知らなかったものでさえ、潜在的に危険なサイト、ダウンロード、拡張機能に関する警告を受け取れる」ことを意味する。
ユーザーベースの規模を考えると、この警告による影響が最も大きいのはChromeユーザーだろう。しかし、Edgeも複数の保護レベルを提供している。エージェントを使用している場合は、その間、ブラウザーの保護レベルを最高に設定すべきだ。これは決して万能ではないが、助けにはなる。
幼児並みのサイバー意識
AIツールは幼児並みのサイバー意識しか持たないことが判明しているため、これは重要である。もし幼児に仕事用のPCを自由に触らせることがあるなら、あらゆる保護機能をオンにしてから触らせるだろう。
「ブラウザーAIエージェントは、組織を大規模なセキュリティリスクにさらします」とSquareXは警告する。「これらのエージェントは、指示されたタスクを完了するよう訓練されていいますが、自らの行動がもたらすセキュリティ上の影響についてはほとんど、あるいはまったく理解していません」。
これは、気の利いた認識力も、訓練も、危険感覚もないことを意味する。「彼らは、疑わしいURL、過度な権限要求、異常なウェブサイトデザインなど、従業員に悪意のあるサイトを警告する典型的な視覚的警告サインを認識できない」。
攻撃者にとって、これは赤ん坊の手をひねるようなものだ。エージェントに与えられる可能性のある典型的なタスクの検索結果を汚染し、その後、エージェントのハンドラーが何らかの問題があることをまったく知らされないまま、攻撃者が認証情報を収集したり、悪意のあるダウンロードをプッシュしたりする。
「ブラウザーAIエージェントは、一般的な従業員よりもブラウザーベースの攻撃の餌食になりやすいのです」とSquareXは述べる。「ユーザーがガードレールを追加することが可能だとしても、エージェントが実行するすべてのタスクにおいて、プロンプトでセキュリティリスクを広範囲に記述するというオーバーヘッドは、おそらく生産性の向上を上回ってしまいます」。
スマートフォンやコンピューターに急速に普及し始めている多くのAIアップグレードと同様に、「ブラウザーAIエージェント」に関する脅威はまだ完全には理解されていない。ユーザー層は生産性の向上に興奮するあまり、負の側面を懸念するには至っていない。それはやがて変わることになる。そしてセキュリティリスクの先には、同様にようやく認識され始めた多くのプライバシーに関する懸念も山積している。
