自律的な Web ブラウジング機能とタスク実行機能を備えた AI ブラウザーと AI アシスタントの人気が高まるにつれて、この分野を対象とした新たなセキュリティ脆弱性が出現しています。サイバーセキュリティ企業LayerXの開発者らは最近、「BioShocking」と呼ばれる新たな概念実証攻撃を明らかにした。古典的なゲーム「BioShock」のスタイルのディストピア的なインタラクティブ パズルを Web ページに埋め込むことで、ハッカーは AI ブラウザをうまく「プレイ」して組み込みのセキュリティ フェンスを回避し、ユーザーの機密のログイン資格情報を素直に引き渡すことができます。

LayerX の研究チームは、「BioShocking」攻撃の核心は、大規模言語モデル (LLM) の内部推論ロジックの脆弱性を悪用することであると説明しました。現段階では、AI ブラウザが Web ページのコンテンツを読み取ってセキュリティに関する指示を受け取る際、それを 1 つのテキスト ストリームとして処理することが多く、「Web ページ上の通常のゲーム コンテンツ」と「悪意のあるシステム制御コマンド」を正確に区別することができません。

このテストでは、ハッカーは「バイオショック」の水中都市「ラプチャー」スタイルを満載したパズル Web ページを構築しました。ゲームが開始されると、AI は簡単な数学の質問に答えるように誘導されます (たとえば、2+2=5 が正しい答えであることを認める必要があります)。 AI がゲームのルールを受け入れ、この架空のストーリーに統合し始めると、そこが「非現実世界」のゲームであると判断します。研究者らは、AIがゲームをプレイしていると確信している限り、後続のすべてのアクションを処理するために「ゲームロジック」の適用に切り替え、現実世界の「安全ロジック」を置き去りにすると指摘しました。

パズルの最後のステップでは、ユーザーの資格情報を取得してコピーするように AI に論理的に指示します。この時点で AI はゲームの物語に完全に没入しており、それを「パススルー報酬」として扱うため、実行を拒否するセキュリティ アラートは発行されません。実際のテストでは、攻撃された AI は、被害者が職場でログインしている GitHub リポジトリにためらわずにアクセスし、SSH ログイン資格情報を抽出してパッケージ化し、攻撃者のサーバーに送信しました。さらに皮肉なことに、この一連の盗み行動を完了すると、AI はユーザーに興奮して「良いニュースを報告」し、ゲームタスクの勝利として報告します。

LayerX はこの脆弱性を利用して、OpenAI の ChatGPT Atlas、Perplexity の Comet、Anthropic の Claude Chrome ブラウザ プラグインを含む 6 つの主流 AI ブラウザとアシスタントをテストすることに成功したと報告されています。実際にこの脆弱性が悪用された場合、ハッカーはユーザーにリンクをクリックさせるだけで、AI を利用してユーザーが現在のセッションで開いたすべてのタブ、ログイン アカウント、社内ツールをサイレントに盗むことができます。

LayerX は、2025 年 10 月から 2026 年 1 月までの間に、影響を受けるすべてのベンダーにこの脆弱性を通知したと述べています。しかし、大手メーカーの修復の進捗状況にはばらつきがあります。現在、ChatGPT Atlas ブラウザでこの問題を修正しているのは OpenAI だけです。セキュリティ専門家は、「Agentic Disaster」が日常のWebブラウジングにおける新たな脅威になりつつあるため、AIブラウザは資格情報の読み取りなどの機密性の高い操作を実行する際に必須のユーザーの二次確認メカニズムを確立する必要があると注意を促しています。同時に、ユーザーは、そのような AI エージェントのコアプライバシーデータへのアクセス権を制限するよう努める必要もあります。