Perplexity の Comet Browser の脆弱性：スクリーン・ショットを介した悪意のプロンプト挿入

Perplexity’s Comet Browser Screenshot Feature Vulnerability Let Attackers Inject Malicious Prompts

2025/10/23 CyberSecurityNews — Perplexity の Comet AI ブラウザに発見された新たな脆弱性を悪用する攻撃者は、無害に見えるスクリーン・ショットを介して悪意のプロンプトを挿入できる。2025年10月21日に公開された、この脆弱性が裏付けるのは、ユーザーに代わって動作する AI エージェント・ブラウザの、プロンプト挿入に関する従来からの懸念である。新たに発見された脆弱性が浮き彫りにするのは、これらの新興技術に潜む継続的なリスクの存在であり、それにより、隠された命令によりユーザー・セッションが乗っ取られ、機密データにアクセスされる可能性が生じる。

Brave の Senior Mobile Security Engineer である Artem Chaikin と、VP of Privacy and Security の Shivan Kaul Sahib が、Web サイト上の画像を検索できるように設計された Comet のスクリーン・ショット機能の悪用方法を、最新のレポートで詳細に説明している。

以前にも Comet の同様の問題が公開されているため、Brave が AI エージェント・ブラウジングのセキュリティ課題について報告する、シリーズ第２弾となる。研究者たちが強調するのは、このような脆弱性は単発的なものではなく、AI ブラウザ全体にわたるシステム面での問題を表す点である。

スクリーン・ショット内の隠しテキストによる安全対策の回避

新たに判明した脆弱性は、スクリーン・ショットとユーザーの質問を、Comet が分析する機能の悪用を許すものだ。この攻撃チェーンは、Web コンテンツのの黄色い背景に埋め込まれた薄い水色の文字といった、目に見えにくい悪意の指示の埋め込みから始まる。

これらの指示は人間による検出を回避するが、ブラウザのテキスト認識 (OCR) により抽出され、適切なサニタイズ処理をバイパスして LLM に入力される。つまり、汚染されたページのスクリーン・ショットがユーザーにより撮られると、そこに埋め込まれた隠しコマンドが正当なクエリの一部に紛れ込む。

それにより、フィッシング・サイトへの誘導や認証済みアカウントからのデータの抽出といった有害なアクションが、AI により実行されていく。たとえば、バンキングやメールなどにユーザーがログインしている場合には、AI がユーザーの権限で動作するため、単純なスクリーン・ショットを介して、不正な送金やデータの窃取が承認されてしまう可能性が生じる。

Brave は、このエクスプロイトのデモンストレーションを行い、隠しプロンプトがユーザーの意図を無視する仕組みを示している。

Malwarebytes のレポートを引用する Brave は、「ユーザーに代わってアクションを実行する AI ブラウザは強力だが、非常にリスクが高い。つまり、Reddit の投稿を要約するだけでも金銭的損失につながる可能性があると」と指摘している。

このスクリーン・ショットの脆弱性は、Fellou などのブラウザの問題と共通している。Fellou の問題は、悪意のサイトにアクセスするとページ・コンテンツが LLM に送信され、視覚的な指示によりクエリ操作にいたるというものだ。

Brave は、その他の AI ブラウザの脆弱性について詳細を公表していないが、近日中に公開する予定だという。この種の脆弱性に対して、同一オリジン・ポリシーなどの従来の Web 保護機能は効果が薄く、信頼できないコンテンツが AI の判断に影響を与える可能性は払拭できない。

ソーシャルメディアやフォーラムの閲覧といった、日常的なシナリオを標的にする攻撃者は、バンキング／医療ポータル／クラウド・ストレージなどに影響を与える、クロスドメイン・エクスプロイトを仕掛ける可能性を手にしている。

Brave は、Comet の問題を 2025 年 10 月 1 日に Perplexity に責任を持って報告し、最初の対応後、10 月 21 日に一般公開した。

Brave が強く推奨するのは、AI エージェント機能を通常のブラウジングから分離し、機密性の高い操作についてはユーザーの明示的な確認を求めることである。エージェント・ブラウザの普及に伴い、専門家たちが訴えるのは、業界全体をカバーする安全対策の必要性だ。

Brave は研究チームを通じて解決策を模索しており、１億人のユーザーに向けた安全な AI 機能を展開する予定である。それまでは、これらのツールの使用には注意が必要だ。特に重要なのは、ログイン・セッションである。

この脆弱性は、スクリーン・ショットが OCR で文字起こしされ、十分なサニタイズなしに LLM へと受け渡され、その画像に隠された悪意の指示が正規のクエリとして処理される設計にあります。AI エージェントはユーザー権限で動くため、ログイン中のバンキングやメールにまで悪意の操作が及びます。従来のセキュリティ・チェックでは想定しづらい入力経路が問題点になっていると、この記事は指摘しています。よろしければ、カテゴリ AI/ML を、ご参照ください。