Prompt Poaching という新たな AI 攻撃:悪意のエクステンションによる API/DOM 侵害

Malicious Browser Extensions Hijack Users’ AI Chats in New “Prompt Poaching” Attack

2026/03/28 gbhackers — 悪意のブラウザ・エクステンションにより、AI ツールの機微なユーザー操作を密かに収集する、Prompt Poaching (プロンプト密猟) と呼ばれる新たな攻撃の波が確認されている。日常的なブラウジングにおける AI アシスタントの普及により、ユーザビリティにギャップが生じている。数多くのユーザーは、分離されたタブで AI ツールを利用し、解析や要約のために手動でコンテンツをコピー&ペーストしている。

この制約の解消を試行する開発者は、複数のタブ上のコンテンツへアクセスできる AI 駆動のブラウザ・エクステンションを導入し、シームレスなワークフローとリアルタイムでの支援を実現している。

しかし、セキュリティ研究者たちが警告するのは、これらのエクステンションが AI 会話を積極的に監視し、ユーザーの認識を必要とせずに、攻撃者が管理するサーバへとデータを送信していることだ。

つまり、この利便性には代償がある。ブラウザ動作へ深く統合されるエクステンション群は、メール/金融情報/機密文書などの重要なユーザー・データを可視化できてしまう。

悪意のブラウザ・エクステンション

セキュリティ企業 Secure Annex が確認しているのは、複数の悪意の Chrome エクステンションにより、直近の 1 ヶ月においてデータが不正に収集されている状況である。これらのエクステンションは正規のツールを模倣しているが、AI 関連タブを監視する隠し機能を組み込んでいる。

AI インターフェイスを検知したエクステンションは、ユーザー・プロンプトと AI レスポンスの両方を取得する。この処理は、API インターセプトや DOM (Document Object Model) スクレイピングといった手法で実現される。それにより収集されたデータはパッケージ化され、攻撃者が制御する外部サーバへと送信される。

この行為は、個人と業務の用途において AI ツールへの依存が高まる中で、この Prompt Poaching と呼ばれる手法が、プライバシー/セキュリティ・リスクを高めている。

悪意のエクステンションとして特定された多くは、人気の信頼されたツールのクローンである。攻撃者は正規エクステンションを複製し、悪意のコードを注入してブラウザ・マーケットプレイスで配布する。

その代表例として、AITOPIA が開発した AI アシスタント・エクステンションの偽ツールがある。この悪意のエクステンションは、通常の機能を維持しながら、その背後でユーザーデータを流出させる。確認された例は、以下のとおりである。

  • Chat GPT for Chrome with GPT-5/Claude Sonnet & DeepSeek AI (ID: fnmihdojmnkclgjpcoonokmkhjpjechg)
  • AI Sidebar with Deepseek/ChatGPT/ Claude など (ID: inhcgfpbfdjbjogdfjbclgolkmhnooop)
  • Talk to ChatGPT (ID: hoinfgbmegalflaolhknkdaajeafpilo)

また、正規のエクステンションが、大規模ユーザーベースを獲得した後に、悪意の機能を追加するというケースもある。

その一例として挙げられるのは、Urban VPN Proxy エクステンションである。この悪意のツールにおいては、公開後に AI 会話を収集する機能が導入されており、再インストールを必要とせずに、既存ユーザーに対して影響を及ぼしていた。

セキュリティとビジネスリスク

盗まれた AI との会話には、機密企業データや個人識別情報 (PII) が含まれる可能性がある。侵害されたエクステンションを利用する従業員により、知的財産や機密通信が意図せず流出する可能性があるため、このリスクは組織においては特に懸念されるものとなる。それにより、コンプライアンスと財務に影響が生じる。

セキュリティ専門家たちが推奨するのは、AI 対応ブラウザ・エクステンション関連のリスクを低減させるための積極的な対策の実施である。

  • エンタープライズ・ブラウザ管理ツールや Group Policy による、未承認エクステンションのインストールの制限。
  • 信頼できる AI ベンダーが提供する、公式エクステンション/スタンドアロン・デスクトップ/モバイル・アプリの使用。
  • エクステンション権限の慎重な確認と、機能に無関係な過剰アクセス要求ツールの回避。
  • インストール済みエクステンションの定期監査と、不審なネットワーク通信や未知のドメイン接続の監視。
  • 非公式なツールへとユーザーが流れていくワークフロー上の課題を特定し、承認済みの安全な代替手段へ置換する。

AI 導入の拡大に伴い、攻撃対象領域も拡大している。Prompt Poaching の横行が示すのは、ブラウザベース AI 統合における制御強化と認識向上の必要性である。そこで求められるのは、利便性とセキュリティのバランスである。

訳者後書:悪意のブラウザ・エクステンションを介して AI との対話内容を盗み出す、Prompt Poaching (プロンプト密猟) という新たな攻撃手法について解説する記事です。 この問題は、正規のツールを巧妙に模倣した悪意のエクステンションが、ブラウザ内の DOM (Document Object Model) 操作や API の傍受を通じて、非公開であるはずのプロンプトやレスポンスを外部サーバへ送信してしまうというものです。

複数のタブを行き来してコピー&ペーストする手間を省きたいユーザーは、画面の横に AI を表示させるようなサイドバー型のエクステンションを利用しがちです。しかし、セキュリティ企業 Secure Annex の調査によると、ChatGPT for Chrome や AI Sidebar といった信頼性の高いエクステンションを装いながら、機密データを流出させる偽物が多数確認されています。 さらに、当初は安全だった Urban VPN Proxy のような有名ツールが、アップデートを通じて Prompt Poaching 機能を組み込むという、非常に検知が難しいケースも報告されています。ご利用のチームは、ご注意ください。