Perplexity Comet 標的の Zero-Click 攻撃:悪意のメールを介した Google Drive 操作

Zero-Click Agentic Browser Attack Can Delete Entire Google Drive Using Crafted Emails

2025/12/05 thehackernews — Perplexity の Comet ブラウザを標的とする、新たなエージェント型ブラウザ攻撃が、最新の調査により発見されたと Straiker Labs が公表した。この攻撃は、無害に見えるメールを破壊的なアクションに変貌させ、ユーザーの Google Drive コンテンツ全体を消去する能力を持つ。ゼロクリックの Google Drive ワイパー攻撃は、Comet ブラウザを Gmail や Google Drive などのサービスに接続して定型タスクを自動化し、メール閲覧/ファイルとフォルダの閲覧に加えて、コンテンツの移動/変更/削除といった操作へのアクセスを許可するものだ。

たとえば、通常の無害なユーザーが、「メールを確認して、最近のすべての組織タスクを完了してほしい」というメッセージを送るとする。その後に、このメッセージを受け取るブラウザ・エージェントは受信トレイで関連メッセージを検索し、必要なアクションを実行する。

セキュリティ研究者 Amanda Rousseau は、「この動作は、LLM 搭載アシスタントの過剰なエージェント機能を反映しており、ユーザーの明示的要求をはるかに超えるアクションを、LLM は実行できる」と、The Hacker News に共有されたレポートの中で述べている。

ブラウザ・エージェントの動作を武器化する攻撃者は、自然言語による指示を埋め込んだメールを送信することで、定期的なクリーンアップ・タスクの一環として受信者のドライブを整理し、特定拡張子に一致するファイルや任意のフォルダを削除し、変更内容を確認できる。

エージェントは、この種のメール・メッセージを日常的なハウスキーピングとして解釈するため、指示を正当なものとして扱い、ユーザーの確認を求めることなく、Google Drive からユーザー・ファイルを削除する。

Rousseau は、「ユーザーからの1つの自然言語リクエストで、ブラウザ・エージェント主導のワイパーは、大量の重要コンテンツをゴミ箱へ移動する。エージェントが Gmail と Google Drive への OAuth アクセスを獲得すると、この種の悪意の指示が、共有フォルダやチーム・ドライブ全体に急速に拡散する可能性がある」と説明している。


この攻撃で注目すべきは、ジェイルブレイクやプロンプト・インジェクションに依存していない点である。むしろ、丁寧な言葉遣いで順序よく指示し、「〜して」「これを処理して」「私の代わりにこれをやって」というように、エージェントへ責任を委譲するフレーズが侵害を引き起こしていく。

この攻撃が浮き彫りにするのは、メールと連携する LLM が安全性の確認を行わずに、悪意の指示に従ってしまう可能性である。

この脅威がもたらすリスクに対抗するには、モデルを保護するだけでは済まない。具体的に言うと、エージェントとコネクタに加えて、エージェントが実行する自然言語指示も保護の対象とすべきだ。

Rousseau は、「エージェント型ブラウザ・アシスタントは、通常のプロンプトを Gmail や Google Drive 全体で有効な、パワフルなアクションのシーケンスに変換する。これらのアクションが、信頼できないコンテンツにより、特に丁寧で構造化されたメールにより引き起こされると、ゼロクリックによるデータ・ワイパーという新たな種類のリスクにユーザー組織は直面することになる」と述べている。

HashJack という間接プロンプト・インジェクション

つい先日に、Cato Networks が人工知能 (AI) 搭載ブラウザを標的とする、別の攻撃形態について発表している。その HashJack と呼ばれる攻撃は、正規 URL (例: http://www.example[.]com/home#) の “#” 記号以降に不正プロンプトを隠し、エージェントを欺いて実行させるものだ。

クライアント側で攻撃を仕掛ける攻撃者は、細工された URL をメール/ソーシャルメディア/Web ページなどに埋め込む。その後に、被害者がページを読み込み AI ブラウザに適切な質問をすると、隠されたプロンプトが実行される仕掛けになっている。

セキュリティ研究者である Vitaly Simonovich は、「HashJack は正規 Web サイトを武器にして、AI ブラウザ・アシスタントを操作できる間接プロンプト・インジェクションとして知られている。悪意のフラグメントは、実際の Web サイト URL に埋め込まれており、そのコンテンツが安全だと思い込むユーザーのシステムは、AI ブラウザ・アシスタントに対する隠された命令により操作される」と述べている。


責任ある開示を受けた Google だが、この Gemini の脆弱性を低深刻度に分類し、修正に対応していない。その一方で、Perplexity は Comet v142.0.7444.60 で、Microsoft は Edge 142.0.3595.94 で、この問題に対するパッチをリリースした。また、Chrome for Claude と OpenAI Atlas は、HashJack の影響を受けないことが確認されている。

なお、Google は AI Vulnerability Reward Program (AI VRP) において、ポリシー違反コンテンツ生成やガードレール・バイパスをセキュリティ脆弱性として扱っていない。

Perplexity の Comet ブラウザにおいて、自然言語による指示が実行され、Google Drive の削除にまで至るという問題が提起されています。攻撃者が丁寧な文章に見せかけた指示を送るだけで、エージェントが危険な操作を行ってしまうところに、AI 特有のリスクが現れています。プロンプト・インジェクションを用いることなく、大規模な被害を引き起こせる点で、従来の攻撃モデルとは異なる対応が必要になると、この記事は指摘しています。よろしければ、AI Agent での検索結果も、ご参照ください。