今日のニュース内容は「PerplexityのAIウェブブラウザ「Comet」にセキュリティ脆弱性が存在した」
出典:公開日:2025.09.18 09:00
ニュースチェック(2025.09.19)https://www.gizmodo.jp/2025/09/perplexity-comethall.html
以下、整理して「何が問題か」「どういう仕組みで危険か」「Perplexity 側の対応」「ユーザーとして注意すべき点」などを分かりやすく説明します。
Contents
問題の内容と報じられている脆弱性
複数の報道・調査レポートによると、主に次のような問題があります:
- 間接プロンプトインジェクション (Indirect Prompt Injection)
- Comet がウェブページを「概要を出して」などの処理をするとき、ページ内のコンテンツをそのまま LLM(大規模言語モデル)に渡し、ユーザーの指示(“summarize this page”など)とウェブページ内容(攻撃者が仕込んだ悪意のある指示を含む可能性のある HTML やコメントなど)を区別せずに処理してしまう。
- 攻撃者がウェブページ内に見えない/目立たない形で指示を埋め込んでおき、それを Comet が読み込んで実行してしまう(例えば、他のタブのメールを読むとかアカウント回復フローを実行させるなど)。
- フィッシングサイトやマルウェアの保護が不十分
- 調査会社 LayerX の調べで、Comet や他の AI ブラウザでは既知のフィッシングサイトをブロックする性能が非常に低く、Chrome や Edge と比べて安全機能が脆弱であることが報告されています。
- 具体的には、100 件の既知フィッシングサイトに対して、Comet などはブロック率がわずか 7%程度だったというテスト結果があります。
- “Stealth crawling”(隠れクローリング、非公開/偽装されたクローラ)
- Perplexity の AI クローラーが robots.txt でアクセスを禁止されているサイトをクロールしようとする、あるいは Web Application Firewall (WAF) でブロックされた後にユーザーエージェントを偽装してブロックを回避しようとする試みが確認されています。
- たとえば、公式の “PerplexityBot” または “Perplexity-User” といったクローラ識別情報がブロックされると、“一般のブラウザ”(例:Chrome on macOS) を偽装してユーザーエージェントを変更するなどの手段を取ることがあるとされています。さらに、IP アドレス/ASNs(ネットワークの経路情報)をローテーションすることで検出を避ける動きもあったと報告されています。
- 対策が十分でない/暫定的な修正が無力なものがある
- Brave などの研究者たちが問題を指摘した後、Perplexity は修正を試みたとされますが、その修正が完全には機能していないという報告があります。特にプロンプトインジェクションの防御策が突破されてしまった例があるということです。
危険性・影響
このような脆弱性から考えられる被害やリスクは以下の通りです:
- ユーザーのプライベートな情報(メール、アカウント情報、クラウドストレージ等)が不正にアクセスされる可能性。複数のタブを開いていたり認証状態を保持していたりする場合、攻撃者がその状態を悪用することができる。
- フィッシング詐欺への加担:AI が攻撃者の指示を無自覚に実行してしまったり、偽サイトに誘導される場面でユーザーが正常な判断をする機会を奪われる。通常、人間なら「このサイト怪しい」と思うような表示や文言を見逃してしまうリスクがある。
- ウェブ運営者側から見れば、robots.txt や WAF などで設定した「クローラーを拒否する」という明示的な意思が無視されることは、コンテンツの著作権やプライバシー、サービス内容の制御に関する問題になる。
Perplexity 側の対応
報道されている対応も含めて、現在確認できる動き:
- Comet と 1Password が提携して、「資格情報管理・安全な自動入力 (secure autofill)」などの機能を強化する動きがあります。これは、パスワードや認証情報を保護するための仕組みです。
- Perplexity は一部の問題について「誤解である」「報道が過大・宣伝目的である」などの反論をしている部分があります。たとえば、Cloudflare の stealth crawling の報告に対してです。
- ただし、間接プロンプトインジェクションについては、暫定的な修正や防御策の提案はされているものの、「完全に解決した」とは言い難い、というのが複数のセキュリティ研究者の見方です。
技術的仕組み:どうしてこのようなことが起きるのか
以下が、なぜこういう脆弱性が発生しやすいかの背景です:
- AI ブラウザ(agentic browser)では、単にウェブページを表示するだけでなく、その内容をモデルに処理させたり、ユーザーの代理で操作させたりする機能があります。このため、「ページの内容」と「ユーザーが明示した指示」とを区別せずに処理してしまうと、ページ中の悪意あるコンテンツ(過去タブに関する指示やスクリプト等)を実行できてしまうリスクがあります。これがプロンプトインジェクションの核心です。
- また、ウェブのセキュリティモデルである “same-origin policy”(同じ起源のページ間でしかスクリプトやデータ共有はできない)とか CORS(クロスオリジン間の制約)などは、通常ブラウザのレンダリングやスクリプト実行時に守られます。しかし、AI モデルが“読み込んだテキスト”を使って他タブや別のセッションの情報にアクセスするような “命令(prompt)”を含んでいたら、AI がその命令を実行してしまう可能性があり、これら伝統的な Web の防御機構を無効化してしまうことがあります。
- それに加えて、Stealth crawling の問題は “ウェブサイトがクローラーを拒否する” という設定(robots.txt や WAF ルールなど)をサイト側がしていたとしても、それをバイパスするために偽装や IP 回避をすることで、サイト側のコントロールをかいくぐることが出来るということです。これはウェブの公平性や著作権・コンテンツコントロールの観点で問題になります。
なぜ“重大”と言われるのか
これらの脆弱性が重大とされる理由は:
- 被害の範囲が大きい可能性:多くのユーザーが AI ブラウザを使えば、被害者数が多くなる。特に認証情報を持っていたり複数タブを同時に使っていたりする人には影響が大きい。
- 被害の潜在性が高い:ユーザーが意識せず操作する “要約” や “サマライズ” といった機能を使っただけで、攻撃者が仕込んだ指示が実行されてしまうこと。
- ウェブセキュリティの既存の仕組み(ブラウザの保護機能やウェブサイトの対策)が効きにくくなる点。これまで “人間の目で判断” が行えていたリスクが、AI の判断に委ねられやすくなることで、ただの Web 表示の延長では済まない構造的な問題になっている。
注意点・制限
ただし、報道や研究には以下の制限・疑問点もあります:
- まだ広範囲に悪用された証拠が明らかになっているわけではない。研究ベンチマークや実験的デモが中心。実際のユーザーへの攻害がどれだけ発生しているかは不明。
- Perplexity が修正を試みている部分もあり、すべてが放置されているわけではない。
- 脆弱性のリスクは、ユーザーの使用方法や設定、どの国/どのOS/どのバージョンを使っているか、どんなアクセス権を与えているかによって変わる。
ユーザーとしてできる対策・注意点
最後に、もしあなたが Comet を使う(またはこれから使おうとする)なら、リスクを下げるためにできることを挙げます:
- 慎重に “要約 (summarize)” や “このページを調べて” 等、ページの全文をモデルに渡す操作を行うときは、どのサイトか・信頼できるかを確認する。
特に Reddit、フォーラム、ユーザー生成コンテンツなど、不特定多数が投稿できるところは注意が必要。 - 認証状態(ログイン状態など)を複数タブで持つ場合には、敏感な情報を扱っているサイトでは Comet を使わない・切り分ける。
例:銀行、メール、クラウドストレージなど。 - フィッシング対策ソフトやパスワードマネージャーを使う
1Password などとの連携が進んでいますが、自分でも安全なブラウザ設定や拡張機能を使って保護を強化する。 - ブラウザおよび Comet の最新バージョンを使う
開発側の修正が入っている可能性があるので、アップデートを見逃さないこと。 - サイト運営者の場合は robots.txt や WAF の設定を確認し、異常なクロール・アクセスが発生していないかモニタリングする。
