AIは詐欺に引っかかりやすい？ ブラウザー操るエージェント型AIが「偽サイト」に騙される実験結果

Munenori Taniguchi

2025/08/21 15:00

Share

• 
• 

AIといえば、多くの人はChatGPTに代表されるチャットボット型のAIを想像するだろう。これは基本的に、ユーザーからの質問に対し、膨大な情報を学習したAIモデルが最適な回答を文章として生成する類いのものだ。

他にも音声認識AIや画像認識AIなどもあり、最近はこれらの機能を併せ持ち、与えられた複雑なタスク（目標）を分析してそれを達成するために自律的に計画を立て、適宜意志決定をこなして処理を進めるエージェント型AI（Agentic AI）も最近は増えつつある。

たとえばOpenAIのOperator、マイクロソフトのCopilotなどは、ユーザーが与えた目的を達成するために、ユーザーになりかわってマウスカーソルのポイント&クリック操作を行い、ウェブブラウザーを操作することができるエージェント型AIとしての機能を備えている。さらに、Perplexityはエージェント型AIを内蔵するブラウザー「Comet」を提供しており、ブラウザー企業のOperaも同ブラウザーにエージェント型AIを搭載する「Neon」を開発している。

サイバーセキュリティを専門とするスタートアップ企業で、自らエージェント型AI搭載ブラウザーを開発しているGuardioが報告した研究によると、ユーザーに代わって目的達成のためにブラウザーを操作するエージェント型AIは、人間と同じように詐欺サイトに騙されてしまう可能性があるのだという。

Guardioはウェブサイトなどの詐欺的動作をリアルタイムで検知可能なブラウザーを開発しており、Scamlexityと題したこの研究で、人間は目前の状況を信じ込んでしまうことで詐欺にかかってしまうが、現在のエージェント型AIは、人間よりもさらに詐欺にかかりやすいとのことだ。

たとえば、メールを要約する、オンラインショップで商品を購入するといった、エージェント型AIの得意分野として紹介されるようなタスクでも、明らかな落とし穴に自ら足を踏み入れてしまう可能性があるそうだ。

Guardioの研究者らは、研究の時点でもっとも広く利用可能なエージェントAI搭載ブラウザーであるPerplexityのCometブラウザーを使用し、米大手小売りチェーンWalmartの偽サイトを用意、CometにそこでApple Watchを購入するように指示した。

すると、Cometは明らかに不自然なロゴやURLなど、サイトが本物ではないことを示す複数の手がかりを見逃す一方で、Apple Watchをサイト上に発見し、購入手続きの過程でクレジットカードなどの情報をあっさりと偽サイトに渡してしまった。

また、実在の証券会社を装った文章のフィッシングメールを処理させたところ、Cometは疑うことなくフィッシングのURLを踏み、遷移先のページで銀行口座のユーザー名とパスワードを入力した。さらに、テキストボックスからAIに誤動作を誘発させるプロンプト・インジェクション攻撃の手法にもまんまとハマってしまった。

既存の詐欺サイトが駆使する手法にこれだけ脆弱であれば、エージェント型AIが今後出てくる新しいタイプの詐欺手法に弱い可能性も大いに考えられる。逆に、いまではあまり問題にならないような非常に古いタイプの詐欺手法にもやられてしまうことも考えられそうだ。AIは何より、命令された目的達成を優先しようとする。現在のところ、エージェント型AIの多くはまだ一般にまでは広まっておらず、アーリーアダプターや技術マニアが試している段階だが、Cometは消費者市場に浸透しつつあり、ユーザーはそれを使う際に、安全性についてよく検討をしておくべきかもしれない。

もし、Chromeブラウザーのようにエージェント型AI搭載ブラウザーが最終的にほぼ1強独占の環境になれば、詐欺サイト側は人間を対象とする詐欺とは違い、1つのエージェント型AIをだませるようになるだけで良くなってしまう可能性がある。

少なくとも、エージェントAI搭載ブラウザーにおける詐欺の兆候に気付く能力が一定レベルまで強化されるまでは、エージェント型AIに買い物や金融サービス、個人情報を使ったタスクを任せないのが無難と言えるだろう。