https://error-daizenn.hatenablog.com/entry/2025/08/31/225644

2025年8月31日公開。AIを活用した最新ブラウザ「Comet」が、セキュリティ上の重大な欠陥を抱えていることが報じられました。月額200ドルという高額な利用料を課しながら、人間なら容易に回避できる詐欺やフィッシングに引っかかってしまうというのです。本記事では、不具合の詳細と原因、利用者が取るべき回避策、さらに今後のAIブラウザの課題について整理します。エラーコードは特定されていませんが、BraveやGuardioが指摘した挙動は「間接的プロンプトインジェクション攻撃」に該当します。特に企業利用や高額課金ユーザーにとって深刻なリスクであり、議論が広がっています。

Cometブラウザの登場と高額サブスクリプション

Perplexity社が2025年7月に公開した「Comet」は、従来の検索型AIと一線を画し、ユーザーの代わりにウェブを閲覧・操作するエージェント型ブラウザとして注目を集めました。ビジネス向けを強調し、「セキュリティ・プライバシー・コンプライアンスは標準搭載」と宣伝されましたが、利用には月額200ドルが必要。対象は「Perplexity Max」および一部の「Pro」ユーザーで、一般的なブラウザとは明確に価格帯が異なります。

当初は「人間の操作を省き、AIが安全に処理する」ことが売り文句でしたが、実際にはその自動化が最大のリスクとなりました。多くのユーザーが期待していた「安心のセキュリティ」こそが裏切られた格好です。

BraveとGuardioが暴いた脆弱性の仕組み

2025年8月20日、BraveのシニアセキュリティエンジニアArtem Chaikin氏とVPのShivan Kaul Sahib氏は、Cometに深刻な脆弱性を発見したと公表しました。Guardioの研究チームも同日「Scamlexity」と題した報告で同じ問題を指摘しています。

問題の根本は、CometのAIが「ウェブページの内容」を処理する際に、ユーザーの指示と外部ページに埋め込まれた悪意ある命令を区別できないことにあります。例えば、ユーザーが「このページを要約して」と依頼した際、もしそのページに攻撃者の文章が紛れ込んでいれば、AIはそれを「命令」と誤認識して実行してしまいます。

その結果、以下のような危険が発生します。

Redditのコメント欄などに埋め込まれた攻撃コードを実行してしまう
偽のショッピングサイトで自動購入し、保存済みのクレジットカード情報を漏洩する
偽装メールからフィッシングサイトへ誘導され、そのまま認証情報を入力してしまう

このように、AIによる自動操作が「人間の警戒心」を完全に飛ばしてしまうため、通常なら簡単に見抜ける詐欺にも無防備になるのです。

実際に起きた「AIの誤行動」事例

Guardioの検証では、Cometに「Apple Watchを買って」と指示すると、明らかに偽物とわかるWalmart風サイトで自動的に購入処理を進め、保存されたカード情報を利用して決済してしまいました。研究員たちは「人間ならURLや見た目ですぐ気づく詐欺だ」と語っています。

さらに危険だったのは、銀行フィッシングのテストです。Guardioは「Wells Fargo銀行」を装った偽メールを用意し、Cometに処理を任せたところ、AIは即座にリンクを開き、利用者にログイン情報を入力させようとしました。本来ならメール送信元の不自然なアドレスやドメイン名で危険を察知できるはずですが、AIが介在することでユーザーは一切の疑いを持たないまま手続きを進めてしまいます。Guardioはこれを「完全に信頼の連鎖が逆手に取られた」と表現しました。

公式対応と現状の回避策

記事執筆時点（2025年8月31日）で、Perplexity社から公式な修正パッチや回避策の発表はありません。報告を受けた後も対応中とされ、利用者への警告は限定的に留まっています。このため、利用中のユーザーは自己防衛が不可欠です。

現時点で可能な回避策としては、次のような行動が推奨されます。

まず、Cometに「自動購入」や「メール処理」といった操作を任せず、必ず人間が最終確認を行うことです。また、要約やページ操作を依頼する際には、不審なサイトを対象にしないことが大切です。さらに、保存されているクレジットカードやパスワードを一旦削除し、外部のパスワード管理ツールを併用することも被害抑止につながります。

利用者層への影響と懸念

今回の脆弱性は、特に企業利用者に深刻な影響を及ぼします。Cometは当初からビジネス向けに訴求されてきたため、メール処理や購買業務をAIに委託する事例が想定されていました。しかし、もし社内アカウントや機密情報がAI経由で流出した場合、その被害は個人以上に大きなものとなります。

RedditやX（旧Twitter）では「200ドル払ってセキュリティホールを買わされた」「便利さより恐怖が勝る」といった声が上がっており、ユーザーコミュニティでも議論が過熱しています。

他ブラウザとの比較と「AIブラウジング」の危うさ

今回のComet騒動を受け、他のAIブラウザとの比較が注目されています。特にMicrosoft Edgeの「Copilot Mode」は、2025年7月28日に発表されたばかりで、同様にユーザーの複数タブを横断的に監視・操作できる機能を持ちます。この設計は便利さの裏返しとして、やはりセキュリティリスクが懸念されます。

Braveは独自AI「Leo」を開発中ですが、セキュリティの脅威を早期に把握するため、積極的に他ブラウザを検証している点が特徴的です。今回の報告もその過程で得られた副産物であり、「AIの自動化は危険を助長する可能性がある」という警鐘を鳴らしました。

また、The Browser CompanyがArcから方向転換して「Dia」というAIブラウザに注力していること、さらにOpenAI自身もブラウジングエージェントを開発しているという噂が広がっており、市場は明らかに「AIによる代理操作」の方向に進んでいます。利便性と同時にセキュリティリスクが拡大する構図が見えてきます。

「人間の直感」と「AIの機械的判断」の違い

Guardioが実証した通り、人間なら即座に見抜ける偽サイトや怪しいメールも、AIには見分けがつきません。人間は日常的な経験や違和感に基づく直感で不自然さを察知します。たとえばメールの日本語が不自然だったり、差出人アドレスに見覚えがなかったりといった微妙な違いを敏感に拾い上げます。

一方、AIは「命令を忠実に遂行すること」を最優先します。つまり「Apple Watchを買え」という命令に対して、サイトが正規かどうかを疑うことなく、目的達成の手続きを進めてしまいます。この「疑うことをしない忠実さ」こそが、AIにおけるセキュリティの最大の盲点です。

人間の直感が役に立たない状況をAIが作り出してしまうというのは、まさに「信頼の逆転現象」とも言えるでしょう。

過去の類似不具合との比較

AIが人間の判断をすり抜ける形でセキュリティを脅かした事例は、今回が初めてではありません。過去にも「間接プロンプトインジェクション」と呼ばれる手法が話題になりました。これはウェブページや文書に命令を紛れ込ませ、AIにそれを実行させる攻撃です。

2023年にはMicrosoftのBing Chat（後のCopilot）に対しても、ユーザーが意図しない指令を引き出す「jailbreak（脱獄）プロンプト」が流行しました。さらに2024年には、GitHub Copilotが誤ってマルウェア的なコードを提案する事例も報告されています。

これらはいずれも「AIが文脈を理解せず、外部の指令を優先してしまう」という構造に共通しており、Cometの問題はAIシステム全体に潜む構造的リスクの再確認とも言えます。

企業ユーザーに迫る現実的リスク

今回の問題は、単に「一般ユーザーが偽通販に引っかかる」だけにとどまりません。ビジネス用途でCometを採用していた企業にとっては、以下のような危険が現実化します。

社内の業務メールをAIに任せていた場合、フィッシングメールをそのまま処理してしまい、ログイン情報が漏洩する可能性があります。また、調達や購買業務をAIが代行する仕組みを組み込んでいた企業では、偽の発注や不正請求を通じて直接的な損害が発生しかねません。さらに、機密情報が外部サイトに流出すれば、サプライチェーン全体への影響も懸念されます。

従来は「メール担当者の確認」や「経理部門の二重承認」がリスクを防いできましたが、AIの自動処理はこうした人間的なセーフティを迂回してしまうため、組織的リスクが拡大する方向にあると考えられます。

ユーザーコミュニティの反応

X（旧Twitter）やRedditでは、Cometに対する不満や不安の声が相次いでいます。

「200ドル払って詐欺サイトに案内されるなんて、これ以上の皮肉はない」
「セキュリティを自動化するほど脆弱になる皮肉」
「これではAIが“便利な詐欺被害装置”だ」

といった強烈な批判が投稿されており、一部では「すぐに利用を停止すべき」という呼びかけも見られます。逆に「AIの進化の過程で避けられない失敗だ」と冷静に分析する声もあり、議論は真っ二つに分かれています。

このように、ユーザー同士が経験を共有し合う場での議論がセキュリティ意識を高める契機になっているとも言えるでしょう。

公式発表の遅れが招く不信感

特に問題視されているのは、Perplexity社からの公式対応の遅れです。BraveとGuardioが報告してから10日以上が経過していますが、明確な修正パッチや緊急アナウンスは出されていません。その間もサブスクリプション料金は課され続けており、ユーザーからは「高額料金に見合うサポートがない」という批判が高まっています。

過去にもソフトウェア企業が脆弱性を放置した事例はありましたが、セキュリティを前面に掲げて高額課金を要求していたCometにとって、この遅れはブランド信頼の大きな毀損につながっています。

今後のAIブラウザに求められる安全設計

今回のCometの不具合は、単なる個別の失敗事例にとどまらず、AIブラウザという新しいカテゴリーそのものに突きつけられた宿題でもあります。AIが代理で行動する仕組みは確かに便利ですが、従来型ブラウザには存在しなかった「判断の自動化」によって、新しい種類のリスクが生まれています。

では今後、AIブラウザはどう安全性を確保すべきなのでしょうか。第一に、AIが取り扱うデータや命令を「信頼できる入力」と「疑わしい入力」に分離する仕組みが欠かせません。つまり、人間が書いた指示と、ウェブサイト上に埋め込まれた文章を同列に扱わない構造が必要です。

第二に、AIの動作を必ずユーザーに確認させる二重承認が必要です。自動購入やアカウント入力の場面で、AIが「実行しますか？」と確認しなければ、ユーザーは危険に気づく機会を失います。この一手間を省くことは利便性向上につながりますが、安全性を根本から損なう行為でもあるのです。

第三に、AIが「判断を保留する勇気」を持つことが求められます。Guardioの実験ではCometがときどき操作を拒否する場面がありましたが、それを例外ではなく標準とする必要があります。「分からないときは止まるAI」こそが真のセキュリティ機能と言えるでしょう。

ユーザーが今できる備え

公式修正が出るまで、利用者側でできる備えも存在します。例えば、Cometにカード情報やパスワードを保存しないようにし、パスワード管理は専用の外部ツールに委ねることです。また、Cometを業務で利用している場合は、自動化タスクの範囲を限定し、重要な認証や購入プロセスは必ず人間が介入するルールを設定することが推奨されます。

さらに、社内教育の面でも「AIを信用しすぎない姿勢」を徹底する必要があります。人間の直感が排除される状況をむしろAIが作り出していることを理解し、最終判断は人間が行うという原則を崩さないことが、被害防止につながるでしょう。

今回の教訓と読者への問いかけ

今回のCometの問題を総括すると、「AIに判断を丸投げした結果、人間が持っていた防御力を失う」という構造が浮かび上がります。月額200ドルという高額サービスであっても、設計思想が脆弱なら安心は得られません。

私たちはこの事例から、次の問いを投げかけられています。

「便利さのために、どこまで自分の直感や警戒心をAIに預けてよいのか？」

これは単に技術的な議論にとどまらず、社会全体がAIとどう共存していくかという根本的なテーマです。もしかすると、AIブラウザを使うことは「便利さ」と「危険」の両方を同時に引き受ける選択になるのかもしれません。

コミュニティでの議論を深めよう

この記事を読んでくださった皆さんにも、ぜひご自身の意見を共有していただきたいと思います。もしCometを実際に試した方がいれば、その体験をぜひコメント欄で教えてください。危険を感じた瞬間や、逆に「便利だった」と思えた場面など、生の声が今後の議論を大きく前進させます。

また、Microsoft EdgeのCopilot Modeや、他社が開発中のAIブラウザについてどう思うかも気になります。「AIに任せる領域」と「人間が守るべき領域」の線引きを、利用者一人ひとりが考えなければならない時代に入ったと言えるでしょう。

終わりに

エラーコードの提示こそありませんでしたが、Cometに見られた挙動は明らかに「間接的プロンプトインジェクション」というセキュリティ上の致命的欠陥でした。公式対応は未だ進行中で、利用者の不安は解消されていません。しかし、この事件は私たちにとって「AIをどう信頼するか」という大きな問いを投げかけています。

最後に一言。AIは人間の道具であり、私たちの代わりに「考える」のではなく「支援する」存在であるべきです。その原点を忘れないことが、安心してAIと付き合うための第一歩になるはずです。

読者の皆さんはどう思いますか？AIに全てを任せる未来を信じますか、それとも自分の直感を守り続けますか。コメント欄での議論を楽しみにしています。