2025 年 8 月に発表された USENIX セキュリティ シンポジウムの調査では、人気のある AI ブラウザ拡張機能が、医療記録、銀行情報、社会保障番号、ソーシャル メディア活動などの機密ユーザー データを収集していることが明らかになりました。ユニバーシティ・カレッジ・ロンドン、地中海大学レッジョ・カラブリア校、カリフォルニア大学デービス校の研究者らが分析を実施した。この調査結果は、2025 年の導入以来注目を集めている AI 支援 Web ブラウザにおけるプライバシー リスクを浮き彫りにしました。OpenAI の Atlas や Perplexity の Comet などの AI 支援ブラウザは、Web サイトの概要、洗練された検索、チャットボット、自律的なタスク実行などの機能を提供します。これらのツールは、世界市場の 70% を握る Google Chrome、Safari、Edge、Firefox などの既存のブラウザに挑戦します。他の参入者には、Opera Neon、Dai、ChatGPT の統合などがあります。 McKinsey & Company は、ブラウザ業界が 2028 年までに 7,500 億ドルの収益を生み出すと予測しています。AI ブラウザは、開いている Web ページを分析する永続的なチャットボットと、フォーム入力、Amazon ショッピング、エッセイの編集などのタスクを処理するエージェント モードを通じて機能します。ユーザーの指示なしに、以前のリクエスト、検索履歴、インタラクションと並行して Web ページのコンテンツを処理します。ブラウザ拡張機能は、OpenAI の ChatGPT、Google の Gemini、Meta の Llama などのモデルのインターフェイスとして機能します。拡張機能は、バックグラウンド サービス ワーカーを介してコンテンツ スクリプトを Web ページに挿入し、自律的なデータ スクレイピングを可能にします。これは、ユーザー入力データのみを処理する Web ベースのチャットボットとは異なります。 Atlas や Comet などのリーダー企業が完成後に立ち上げたため、USENIX の調査はフルブラウザではなくブラウザ拡張機能に焦点を当てていました。調査された拡張機能には、Google、Sider、Monica、Merlin、MaxAI、Perplexity、HARPA、TinaMind、Microsoft の Copilot の ChatGPT が含まれていました。研究者らは、ニュースを読む、YouTube ビデオを見る、ポルノを見る、納税フォームに記入するなど、私的および公的な状況でのブラウジングをシミュレートしました。拡張機能は、医療診断、社会保障番号、出会い系アプリの設定などの画像とテキストをキャプチャしました。マーリンは銀行取引の詳細と健康記録を送信しました。 Merlin と Sider AI は、プライベート ブラウジング モードでもアクティビティを記録しました。復号化後のトラフィック分析では、企業のサーバーとサードパーティのトラッカーへの送信が示されました。 Sider と TinaMind は、ユーザー プロンプトと IP アドレスを Google Analytics と共有し、クロスサイト追跡を容易にしました。 Microsoft の Copilot は、セッション全体にわたるチャット履歴をブラウザ ストレージに保持していました。 Google、Copilot、Monica、ChatGPT、Sider は、年齢、性別、収入、興味ごとにユーザーのプロフィールを作成し、複数のセッションにわたってパーソナライズされた応答を提供しました。 Perplexity は、テストされたツールの中で最もプライバシーを尊重するものとして浮上しました。以前のやり取りを記憶しておらず、サーバーはプライベートな空間から個人データを回避します。 Perplexity は引き続きページ タイトルとユーザーの位置を処理します。 OpenAIは研究後にAtlasをリリースした。 OpenAI によれば、Atlas はコンテンツを選択的に分析しますが、Web サイトの画像とテキストはすべて処理されます。オプションのメモリ機能は、エクスペリエンスをカスタマイズするために閲覧履歴要素を保存します。ユーザーは、ブラウザがどのサイトの側面を取得するかを指定できません。 OpenAIのヘルプページでは、チャットウィンドウからページを削除するか、機密性の高いURLをブロックするか、履歴を削除して公開を制限するようアドバイスしている。 Atlas には 2 つのデータ関連設定が含まれています。 「全員のためのモデルを改善する」はデフォルトで有効になり、OpenAI がチャットボット クエリからの Web ページ データを ChatGPT トレーニングに使用することを許可します。 「Web ブラウジングを含める」では、すべてのブラウジング履歴がトレーニングに組み込まれます。 OpenAI はトレーニングで使用する前にデータを匿名化しますが、境界に関する詳細は依然として限定されています。ユーザーは両方の設定を無効にすることができます。 Perplexity の Comet は、検索履歴をサーバーではなくユーザーのデバイスにローカルに保存します。コア機能の URL、テキスト、画像、検索クエリ、ダウンロード履歴、Cookie にアクセスします。 Comet のエージェント モードとメモリ ツールは、検索履歴と設定を分析します。ブラウザは、サードパーティ統合のオプトインを使用して、電子メール、連絡先、設定、カレンダーをカバーする Google アカウントへのアクセスを要求します。 Perplexity の説明ページでは、データ設定の詳細を説明しています。専門家は、チャットボットのサイドバーを機密性のないページに制限することを推奨しています。 AI 企業は、明示的な同意なしに、保存されたユーザー データを大規模な言語モデルのトレーニングに再利用することがよくあります。この慣行は、不透明な契約とデフォルトのオプトインを通じて、AI を超えてソーシャル メディア、小売店、検索エンジン、メッセージング サービスにまで広がります。ブラウザは他のプラットフォームよりも機密情報にアクセスします。 OpenAI は、2025 年上半期に 105 件の米国政府のデータ要求に対応しました。セキュリティの脆弱性がプライバシー問題を複雑にします。プロンプト インジェクション攻撃により、ハッカーは正規の入力と区別できない悪意のあるコンテンツをブラウザのバックエンドに埋め込むことができます。これらにより、認証情報、銀行口座の詳細、個人データのフィッシングや盗難が可能になります。 2025 年 10 月の Brave の調査では、即時インジェクションが AI ブラウザーにとってシステム的な課題であり、フィッシングのリスクが増大すると述べています。 LayerX Security は、Perplexity Comet ユーザーは Chrome ユーザーと比較して、そのような攻撃に対して 85% 高い脆弱性に直面していると報告しました。 OpenAI 最高情報責任者のデーン・スタッキー氏は X で、プロンプト・インジェクションは「未解決の未解決のセキュリティ問題のままである」と述べました。 Perplexity のブログでは、AI 企業に対し「セキュリティを根本から再考する」よう呼びかけています。 USENIX の研究者は、データのキャプチャを測定するために、制御されたシナリオで拡張機能をテストしました。ニュースの閲覧では、拡張機能により記事のテキストと画像が記録されました。 YouTube セッションでは、ビデオのサムネイル キャプチャとコメントのスクレイピングが行われました。ポルノ サイトは画像や嗜好の記録につながりました。納税フォームのシミュレーションにより、社会保障番号と財務詳細が明らかになりました。マーリンからの暗号化されたトラフィックには、糖尿病管理ノートなどの診断書や口座番号を含む銀行ログインなどの健康記録が平文で送信されていることが示されていました。 Sider AI のパケットには、個人識別子を含むプロンプトと組み合わせられた IP アドレスが含まれていました。 TinaMind は同様のデータを Google Analytics エンドポイントにルーティングしました。 Copilot のローカル ストレージには、以前のサイトからの収入の詳細に関連付けられた財務計画に関するクエリを含む会話ログが保存されていました。プロファイリングの例には、Sider がショッピング サイトからユーザーの性別を推測し、ニュースの好みから年齢を推測し、それらを広告のようなレコメンデーションに適用することが含まれていました。 Perplexity の制限により、クロスセッション メモリが妨げられ、プロファイリングがブロックされました。そのサーバー ログには、ページ タイトル (「ログイン – バンク オブ アメリカ」) や地理位置座標などのメタデータのみが含まれており、プライベート タブからのコンテンツ ペイロードは含まれていませんでした。 Atlas のドキュメントでは、すべてのタブで画像 OCR とテキスト抽出が確認されています。メモリ スナップショットには、URL リストと「電子機器が入った Amazon のカートを訪問した」などの要約された履歴が含まれます。 OpenAI の開示に従って、トレーニング オプトインは、匿名化パイプライン、IP のハッシュ、セッションの集約を通じてデータを処理します。 Comet のローカル ストレージは履歴に IndexedDB を使用し、オプションで Perplexity アカウントに同期します。 Google の統合には、Gmail とカレンダーへの読み取り/書き込みアクセスのための OAuth スコープが必要です。 Zapier などのサードパーティ ツールは API キーを介して接続します。 OpenAI に対する政府の要請は、6,000 のユーザー アカウントを対象とした脅威調査と国家安全保障令状の召喚状に及びました。コンプライアンス ログには、チャット、ファイル、IP トレースなどのデータ タイプの詳細が記録されます。 Brave の 10 月の分析では、ブラウザー全体で 500 回のインジェクション試行をシミュレートしました。 AI モデルは悪意のあるプロンプトの 72 パーセントを実行しましたが、従来のブラウザでは 4 パーセントでした。 LayerX は 1,200 人のユーザーをテストしました。Comet セッションでは 1 時間あたり 2.1 件のエクスプロイト、Chrome 1.1 が発生しました。拡張機能の挿入メカニズムは Manifest V3 サービス ワーカーに依存し、幅広いタブのアクセス許可を付与します。自律性は、すべての URL に一致する「content_scripts」、DOM ツリーを LLM にパイプすることから生まれます。 StatCounter データによると、市場の状況では、2025 年後半時点で Chrome のシェアが 70% であることが示されています。SimilarWeb によると、AI ブラウザは合わせて 12% を占めています。 Firefox AI の統合により、そのシェアは 8% に増加しました。

  Apple、iPhone 5sのハードウェアサポートを終了

Source: USENIX の大規模調査で、AI ブラウザ拡張機能がデータを盗んでいることが判明