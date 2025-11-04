Image: DIA TV / Shutterstock.com

アドレスバーに悪意のコマンドが勝手に入力されるんだって。

Google Chromeに対抗して、OpenAIがリリースしたAIブラウザ「ChatGPT Atlas」（現在Mac版のみ）に、さっそくセキュリティの穴が見つかり、セキュリティ需要の高い情報を取り扱わないよう専門家たちが警鐘を鳴らしています。

個人情報覚えすぎ

Atlasブラウザでは、「Memories」というWeb使用履歴保存機能を組み入れることで、キーワードとURLで検索するブラウザとは異なる会話型の検索を実現しているのですが…このMemories、デフォでONらしくて、訪問したサイト、使った文書、操作の履歴と、ユーザーの好みが自動で保存される基本設定になってるそうなんですね。

もちろん身分証明書や社会保障ナンバー（日本のマイナンバーに相当）、銀行口座、ユーザー名＆パスワード、アカウント回復用コンテンツ、住所など、個人を特定できる情報は保存されないし、病歴や財務状況、人に知られて困るWeb閲覧履歴（アダルトサイトなど）は除外される仕様にはなっています。

また、アドレスバーの「page visibility（ページ公開範囲）」のボタンを押せば、隠すかどうか指定することもできるのですが、実際使ってみた人からは、そう開発側の意図通りに事が進むとは限らないとの報告が挙がっています。

クリップボードインジェクション攻撃の報告

さらにAtlasブラウザでは、ユーザー代理でAIエージェントがWebを閲覧してタスクをこなす機能も使えるんですが、これができると怖いのが、人間の指示を模した不正なプロンプトでAIに意図せぬタスクを実行させる「プロンプトインジェクション攻撃」。これを回避する方法が、あまり明確に示されていないのも気になる点だと、プログラマーのSimon Willisonさんは指摘しています。

現に発表の翌日には、ハッカーの@elder_pliniusさんがジェイルブレイクに成功し、「（悪意のリンクをAIエージェントにコピーさせ、後日フィッシング詐欺サイトに誘導してID＆パスワードを盗む）クリップボードインジェクションもできた」とX上で事細かに手順を報告してますし…。24時間経たずにコレでは、ガードが緩すぎると言わざるをえません。

JAILBREAK ALERT



OPENAI: PWNED

ATLAS-BROWSER: LIBERATED



WOW! There's a new AI browser on the block! Has some hefty guardrails in play, but the browser surface area is vast



First, I started with a good ol' LSD jailbreak, which was cool to see that the GPT-5 prompt… pic.twitter.com/wD3sI26XJx - Pliny the Liberator (@elder_plinius) October 22, 2025

オムニボックス脱獄が可能

オムニボックス（アドレスバー兼検索バー）をジェイルブレイクできる脆弱性については、NeuralTrustの研究員も警鐘を鳴らしています。悪意のコマンドをURLと誤認する脆弱性で、ブラウザ側で有効なURLであることの確認を怠るため、悪意の第三者が仕込んだコマンドをユーザーの入力と勘違いしちゃうらしいのです。

つまり、その気になればハッカーは、ユーザーがクラウドに保存した全ファイルを削除するようAIに命じることもできるし、メールを勝手にだれかに送りつけるよう指示することも可能。いずれもユーザーの知らないところで、同意抜きに実行できてしまうというわけです。

OpenAIも急いで対応しているようですが、ガードは盤石とはいえません。専門家の指示に従って、Atlasで銀行手続きや社外秘の情報を扱うことは、当分控えたほうがよさそうです。

Source: Gizmodo US, Analytic Insight