何が起きたか
ワシントン大学の研究者は2026年6月30日、7つの人気あるエージェントAIブラウザ (ChatGPT Atlas、Claude、Cometを含む) を検査した研究を発表しました。7つ中4つが、ウェブサイト間のデータアクセスを防ぐ基本的なウェブセキュリティプロトコルである同一生成元ポリシーをバイパスすることを許可していることがわかりました。研究者は、iframe内に埋め込まれた悪意あるウェブサイト (メールページ上の広告など) がプロンプトインジェクションを使用して、エージェントに別の開いているタブから機密データ (GitHub SSH認証情報を含む) をコピーさせる成功したPoC攻撃を実証しました。BioShocking技術 (以前にカバーされた) は7つ中6つのエージェント上で1つの動作する攻撃ベクトルとして確認されました。
なぜ重要か
エージェントブラウザは自律的なマルチタブブラウジングと認証済みセッション (メール、GitHub、銀行、クラウドコンソール) へのアクセスを組み合わせています。プロンプトインジェクションを介したSOP バイパスにより、悪意あるウェブサイト (エージェントにアクセスされた) は、エージェントが開いている他のタブから静かに認証情報またはデータを盗む可能性があります。マルウェアなし、従来のエクスプロイトなし、注入された自然言語命令のみです。これは、新しく急速に成長しているAIデプロイメントのクラス内の基本的なセキュリティ境界の失敗を表します。
攻撃経路
攻撃者は、埋め込まれたプロンプトインジェクションコンテンツを含む悪意あるウェブページ (広告iframe または埋め込みコンテンツなど) をホストしています。エージェントブラウザがページにアクセスすると同時に、他のタブで認証済みセッションが開いている場合、注入されたプロンプトはエージェントに、エージェントのクロスタブアクション機能を介してSOP をバイパスする他のセッションからデータを読み取って流出させるように指示します。
影響を受けるシステム
ChatGPT Atlas、Claude ブラウザエージェント、Comet、および他の4つのテスト済みエージェント (合計7つをテスト、SOP バイパスに対して脆弱性が確認された4つ) を含むエージェントAIブラウザ — 2026年6月30日現在のバージョン
緩和策
エージェントアクセスを機密認証済みブラウザセッションに制限してください。ベンダーがSOP分離をパッチするまで、特権認証情報と同じセッションコンテキストでエージェントブラウザを使用しないでください。毒された入力についてエージェントメモリを監視してください。影響を受ける各製品のベンダーセキュリティアドバイザリを確認してください。