ChatGPT AtlasがSNS投稿できる意味(AI駆動ブラウザとセッション)

by

「ChatGPTの新しいブラウザAtlasを使っていて、ブラウザからSNSに投稿できた」という報告がありました。

これには、認証の正しさについてセキュリティの不安があります。ChatGPTが、「私」としてサービスにアクセスしているってことですよね。

「AI駆動ブラウザ」と認証の仕組み

ChatGPT Atlasには、「エージェントモード」という機能があります1
これは、ChatGPTがあなたのブラウザ上で、あなたとして行動できる機能です。

AI駆動ブラウザとは 従来 受動的 閲覧のみ AI駆動 能動的 自動実行 タスク代行 エージェンティック・ブラウザ / AIエージェント

ChatGPT AtlasやPerplexityのComet2といったブラウザは、「エージェンティック・ブラウザ」や「AI駆動ブラウザ」と呼ばれるカテゴリに属しています。

普通のブラウザとの違いは、AIがあなたの代わりに複雑なタスクを実行できる点です。
例えば「夕食の材料を調べて、買い物カゴに入れて」と頼めば、レシピを探し、必要な食材をリストアップし、実際にオンラインストアのカートに追加するところまでやってくれる。
それが、「AI駆動ブラウザ」の特長とされています。

セッションを使っている

具体的には、あなたがすでにログインしているXやGmail、ショッピングサイトなどで、ChatGPTがあなたの代わりに操作を行います。つまり、あなたのセッション(ログイン状態を保つクッキー)を使って、AIが動いているわけです。

認証の仕組み 1 ユーザー ログイン 2 セッション クッキー保存 3 AI使用 あなたとして AIがあなたのアカウントで操作 ・既存のログイン状態を利用 ・サイトごとに制御可能

つまり、AIが指示に従ってSNSに投稿するのは、「正常な動作」と言えます。また、OpenAIは一応、サイトごとに「ログインして操作するか、ログアウト状態で閲覧だけするか」を選べる仕組みを用意しています。

プロンプトインジェクション攻撃という脅威

問題は、AIがユーザーの指示だけに従うのか。
OpenAI自身もこんな警告を出しています3

「ChatGPTは保護されていますが、攻撃者がセーフガードを破ってデータにアクセスしたり、ログインしているサイト上でユーザーとして行動したりするリスクは常に存在します」

というのも、AI駆動ブラウザには「プロンプトインジェクション攻撃」という深刻な脆弱性があるからです。

プロンプトインジェクション攻撃 悪意のページ 見えない命令 通常のコンテンツ… 通常のコンテンツ… 要約依頼 AI判断 区別不可能 攻撃実行 ✓ メール抽出 ✓ OTP取得・送信

これは、Webページの中に悪意のある命令を隠しておいて、AIブラウザがそれを「ユーザーからの指示」だと勘違いして実行してしまう攻撃です。

ページ内に隠されたAIへの命令

Perplexity CometというAI駆動ブラウザでは、実際にこのプロンプトインジェクション攻撃が成功した例が報告されています4。攻撃の流れは:

  1. インターネット掲示板 Redditの投稿に、白い背景に白い文字で命令を隠しておきます。
    ユーザーには見えませんが、AIには読めます。
  2. ユーザーが「このページを要約して」と頼むと、AIはその隠された命令も読み取って実行してしまうんです。

具体的には、掲示板の投稿にはこんな命令を埋め込みます。

  1. ユーザーのメールアドレスを抽出する
  2. そのメールにログインする
  3. ワンタイムパスワードを取得する
  4. メールアドレスとパスワードを攻撃者に送信する

すると、Reddit投稿を要約してもらおうとAIに指示すると、そのタイミングでAIが隠された命令に従ってしまい、アカウントが乗っ取られる可能性があるわけです。

URLに命令を埋め込む(CometJacking)

さらに進化した攻撃手法も報告されています。
それは「CometJacking」と呼ばれるもので、悪意のあるURLそのものに命令を埋め込む手法です5

リンクをクリックするだけで、AIがGmailやカレンダーから情報を抽出し、Base64でエンコード(暗号化のようなもの)して、攻撃者のサーバーに送信してしまいます。

ブラウザ内のAIはサイトを横断する

この攻撃が起こるのは、AIにとって、あなたからの正規の命令も、Webページに埋め込まれた悪意のある命令も、どちらも「テキスト」として同じように見えるからです。

なぜ防御が難しいのか AIの認識 すべて同じ 「テキスト」 正規の命令 「要約して」 悪意の命令 隠されたコード 根本的問題 ・約3年前から既知の問題 ・決定的な解決策なし

しかも、AIはあなたの権限で全てのサイトにアクセスできます。AIが介在すると従来のセキュリティ対策、例えば「このサイトはこのサイトのデータにしかアクセスできない」というルール(同一オリジンポリシー)も、無効化されてしまうのです。

  • 偽のWalmartサイトでApple Watchを購入するようAIに頼んだところ、AIは支払い情報を自動入力して、ユーザーに確認を求めることなく購入を完了してしまったんです6
  • フィッシングメールのリンクをクリックして、そのサイトに表示されたとおりに銀行のログイン情報を入力してしまったケースもありました。

「プロンプトインジェクション」の問題は以前から知られていて、多くの研究者が解決策を探していますが、まだ決定的な防御方法は見つかっていません7

Atlasのセキュリティ制限

じゃあ、ChatGPT Atlasは安全なんでしょうか。
もちろん、OpenAIは一定の対策を取っています。

例えば、エージェントは以下のことができません。

  • ブラウザ内でコードを実行する
  • ファイルをダウンロードする
  • 拡張機能をインストールする
  • コンピュータ上の他のアプリやファイルにアクセスする

また、金融機関などの重要なサイトでは、AIが操作を行う前に一時停止して、ユーザーに確認を求める仕組みもあります。

でも、プロンプトインジェクション攻撃への根本的な防御策については、「ユーザーがエージェントの動作を注意深く監視すること」が主たる防御手段のようです。Atlasには「停止」ボタンや「制御を取る」ボタンがあり、おかしな動作を見たらすぐに止められるようになっているのです。

AI駆動ブラウザは「諸刃の剣」

AI駆動ブラウザは「諸刃の剣」です。確かに便利です。時間の節約にもなりますが、その便利さと引き換えに、あなたの全てのログイン情報やオンライン上の行動をAIに預けることになります。

AI駆動ブラウザは、確かに未来のテクノロジーです。でも、セキュリティの観点ではまだ「実験段階」だと思います8

AI駆動ブラウザを使う場合には、「ログアウトモード」という機能も活用できます。これを使うと、AIは既存のログイン情報を使わず、あなたの明示的な許可なしにアカウントにアクセスできなくなります。もっと言えば、AIのエージェント機能は、仮想環境内など、ふだんの自分の情報とは切り離した範囲で使った方がよさそうです。

  1. ChatGPT Atlasは2025年10月21日にOpenAIによって発表され、同日macOS版がリリースされました。 – Introducing ChatGPT Atlas | OpenAI
  2. Perplexity Cometは2025年7月9日に発表され、当初は月額200ドルのMax購読者向けに限定提供され、同年10月2日に無料で全世界に公開されました。 – Introducing Comet: Browse at the speed of thought | PerplexityPerplexity AI rolls out Comet browser for free worldwide | CNBC
  3. この警告はOpenAIの公式ドキュメントおよびAtlas発表時のライブストリームで明示されています。 – What to know about Atlas, OpenAI’s new web browser | AxiosChatGPT Atlas – Release Notes | OpenAI Help Center
  4. Braveのセキュリティチームは2025年7月25日にPerplexity Cometの脆弱性を発見し、同年8月20日に公開しました。この脆弱性により、Redditの投稿に隠された悪意のある命令を通じてアカウントの乗っ取りが可能であることが実証されました。 – Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet | BraveAgentic Browser Security: Indirect Prompt Injection in Perplexity Comet | Simon Willison
  5. CometJackingは、LayerXのセキュリティ研究者が2025年8月27日に報告した攻撃手法で、URLパラメータに悪意のあるプロンプトを埋め込み、Base64エンコードを使ってデータ流出検知を回避する技術です。 – CometJacking: How One Click Can Turn Perplexity’s Comet AI Browser Against You | LayerXCometJacking: One Click Can Turn Perplexity’s Comet AI Browser Into a Data Thief | The Hacker News
  6. Guardio Labsは2025年8月に「Scamlexity」という攻撃手法を公開し、AIブラウザがフィッシングサイトや偽のeコマースサイトと相互作用する様子を実証しました。 – Perplexity’s AI-powered Comet browser leaves users vulnerable to phishing scams | Tom’s Hardware
  7. プロンプトインジェクション攻撃の問題は2022年頃から広く認識されており、LLMが信頼できる指示と信頼できないコンテンツを区別できないという根本的な課題が残っています。 – Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet | Simon Willison
  8. Simon Willisonは著名なオープンソース開発者で、自身のブログで2025年10月21日にChatGPT Atlasについて「The security and privacy risks involved here still feel insurmountably high to me」と述べています。 – Introducing ChatGPT Atlas | Simon Willison’s WeblogOpenAI puts ChatGPT into Atlas browser | The Register