2025年8月27日、米AnthropicはAIサービス「Claude」をChrome上で直接動作させる拡張機能「Claude for Chrome」を発表した。
ユーザーは閲覧やクリック、入力を指示できる一方で、セキュリティリスクが大きな課題として浮上している。
AIがWebを直接操作 利便性と同時にリスクも顕在化
Anthropicが新たに公開した「Claude for Chrome」は、ブラウザ上でAIが直接Web操作を実行できる拡張機能である。
対象は現時点で有料のClaude Maxプラン(月額100ドル)の一部ユーザー1,000人に限定され、パイロットテストとして提供されている。
ユーザーは検索やサイト内クリック、フォーム入力といった操作をAIに任せられ、ブラウザ活用の効率化が期待される。
ただし、Anthropicは同時にセキュリティ面でのリスクを明確に指摘している。特に問題視されるのは「プロンプトインジェクション攻撃(※)」であり、悪意あるWebページやメールに仕込まれた隠し命令がAIを誤作動させる危険性だ。
実際の社内テストでは、Claudeが不正メールに反応し、ユーザーの許可なくメールを削除する事例が確認された。
これを受け、Anthropicは多層的な防御策を導入している。ユーザーはWebサイトごとにアクセス権を設定でき、高リスクな操作では都度確認が求められる。
さらに、金融やアダルトなどのカテゴリーは自動的にアクセスを遮断する仕組みも備える。こうした対応は利便性と安全性の両立を図る試みといえる。
※プロンプトインジェクション攻撃:AIに与えられる指示文に悪意ある命令を混入させ、意図しない動作を引き起こす攻撃手法。ブラウザ操作AIでは隠し命令による情報漏洩や不正操作が懸念される。
攻撃成功率を半減 一般公開へ信頼性確立が急務
Anthropicは導入したセキュリティ対策の効果を定量的に検証している。29種類・123ケースの攻撃シナリオを用いた試験では、プロンプトインジェクションの成功率を23.6%から11.2%まで引き下げたと報告。
また、視認できないフォームやURL偽装などブラウザ特有の攻撃に対しては、成功率を35.7%から0%にまで低減したという。
この数値は一定の成果を示すが、完全防御には至っていない。
Webを直接操作するAIは業務効率を飛躍的に高める可能性がある一方、攻撃が成功すれば被害も大きい。特に金融や個人情報を扱う利用シーンでは、企業導入に慎重な判断が求められるだろう。
今後の展開としては、一般提供に向けてより高度な防御技術の確立が不可欠である。ユーザー側にとっても、利便性とセキュリティリスクのバランスを見極めるリテラシーが問われる局面になると考えられる。
AIがWebブラウザを自在に操作する未来像は現実味を帯びてきたが、信頼性が確立されなければ本格普及は難しいと言える。
