PerplexityのAIブラウザ「Comet」にプロンプトインジェクション脆弱性が発見された。
競合のBraveが7月25日に発見し、Perplexityに報告した。BraveのシニアモバイルセキュリティエンジニアArtem Chaikin氏とプライバシー・セキュリティ担当VPのShivan Kaul Sahib氏が調査中に発見した。
この脆弱性により、CometがWebページを要約する際、ページ内の悪意ある指示を処理してしまう問題があった。研究者らはRedditページの「ネタバレ」タグに隠した悪意ある指示を使用し、ユーザーのPerplexityアカウントアクセス用ワンタイムパスワードを窃取する概念実証攻撃を実行した。同様の問題はAIコードエディタCursorやGoogle Gemini for Workspace AIアシスタントでも報告されている。
Braveによると脆弱性は2025年8月13日時点で修正されたが、Perplexityはパッチを共有していないという。8月20日の更新で、Braveは問題が完全に軽減されていないとして再報告したと発表した。
From: 
Perplexity’s Comet browser faced prompt injection vuln
【編集部解説】
今回のPerplexity Comet脆弱性の発見は、AIエージェントブラウザが抱える根本的なセキュリティ課題を浮き彫りにしています。この問題の深刻さは、単なるバグ修正の域を超え、AIが人間の代理として行動する「エージェント型AI」時代の安全性確保という大きなテーマに直結している点にあります。
プロンプトインジェクション攻撃とは、AIシステムに対して悪意のある指示を混入させ、本来の動作を乗っ取る攻撃手法です。従来のWebブラウザであれば、ページ上のテキストは単なる表示データでしたが、AIブラウザにとってはすべてが「指示の可能性」となってしまいます。この根本的な認識の違いが、新たなセキュリティホールを生み出しました。
Guardio Labsの別の研究によると、この脆弱性は単にパスワード窃取にとどまらず、偽のオンラインショップで勝手に商品購入を実行したり、フィッシングサイトへ誘導したりする攻撃も可能であることが実証されています。特に注目すべきは、CAPTCHAページのソースコードに隠された指示に従って悪意のあるファイルをダウンロードしてしまった事例です。
競合のBraveが敢えてこの脆弱性を公開した背景には、業界全体でのセキュリティ意識向上への狙いがあります。AIブラウザ市場では、Microsoftも「Edge」にCopilot統合を進め、OpenAIは「Aura」というコードネームで独自プラットフォームを開発中と報じられています。この競争激化の中で、セキュリティが後回しにされることへの警鐘として捉えることができるでしょう。
最も懸念されるのは、攻撃者が同じAIモデルにアクセスできる現状です。「AI対AI」の時代においては、攻撃者は被害者のAIと同等の能力を持ったAIを使って攻撃手法を最適化できます。これは従来の「数撃ちゃ当たる」式の攻撃から、「一度成功すれば無限にスケール可能」な攻撃への根本的な変化を意味しています。
技術的な対策としては、信頼できるソースからの指示と外部コンテンツの指示を区別する仕組みの構築が急務です。しかし、これは単純な技術実装の問題ではなく、AIがコンテキストを理解し、適切な判断を下すという、現在のLLMが最も苦手とする領域での改善が必要となります。
長期的な視点では、この問題はAIエージェントの社会実装における信頼性確保という、より大きな課題の一部と位置づけられます。自動運転車と同様に、AIエージェントも完全な自律性を獲得する前に、適切な安全装置と人間による監視体制の確立が不可欠でしょう。
【用語解説】
プロンプトインジェクション攻撃
AIシステムに悪意のある指示を混入させ、本来の動作を乗っ取る攻撃手法。直接的なものと間接的なものに分類され、今回の事例は後者にあたる。
エージェント型AIブラウザ
単純な検索や表示機能に留まらず、ユーザーの代理として様々な操作を自動実行できるAI搭載のWebブラウザ。従来のブラウザと異なり、Webページのテキストを「指示」として解釈し処理する。
概念実証攻撃(PoC攻撃)
脆弱性の存在を実証するために研究者が行う模擬攻撃。実際の被害を目的とせず、セキュリティホールの深刻さを示すために実施される。
【参考リンク】
Perplexity AI(外部)
2022年創業のAI検索エンジン企業。リアルタイムWeb検索と大規模言語モデルを組み合わせ、情報源付きの回答を提供する。
Brave Browser(外部)
プライバシー重視のWebブラウザ開発会社。独自のAIアシスタント「Leo」を搭載し、広告ブロック機能で知られる。
Brave Leo AI(外部)
BraveブラウザのAIアシスタント機能。複数LLMにアクセス可能で、Webページ要約や文書分析機能を提供する。
Comet Browser(外部)
Perplexity初のAIブラウザ。「思考の速度でブラウジング」をコンセプトにしたChromiumベースのブラウザ。
【参考記事】
Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet(外部)
Braveの研究チームによる技術的な脆弱性解析レポート。攻撃手法の詳細とセキュリティ課題について解説。
Perplexity’s Comet AI browser tricked into buying fake items online(外部)
Guardio研究チームの発見した追加攻撃手法について報告。偽のオンラインショップでの自動購入など実用的な攻撃例を紹介。
Experts Find AI Browsers Can Be Tricked by PromptFix Exploit(外部)
プロンプトインジェクション攻撃の業界全体への影響について分析。CursorやGoogle Geminiでの類似事例も含めた包括的な報告。
AI browsers may be the best thing that ever happened to scammers(外部)
AIブラウザの普及がサイバー犯罪者にもたらす新たな機会について考察。従来の詐欺手法からAI対応の高度な攻撃への進化を警告。
【編集部後記】
AIエージェントが私たちの代わりに様々なタスクを実行してくれる未来は、もうすぐそこまで来ています。しかし今回の事例は、その便利さと引き換えに新たなリスクも生まれることを示しています。
皆さんは普段、どのようなAIツールを使っていますか?ChatGPTやCopilotなど、既にAIに重要な作業を任せている方も多いのではないでしょうか。これからAIエージェントがより高度になる中で、私たちユーザーはどんな点に注意すべきでしょうか。
ぜひSNSで、皆さんの体験や懸念をお聞かせください。一緒に考えていければと思います。
