The AI Browser Revolution: Why 30 Years of Web Security Just Collapsed

はじめに：信頼の危機

30年間、Webセキュリティは、揺るぎない一つの基盤原則に基づいています。それは、ユーザーは信頼するが、コンテンツは信頼しないというものです。

ブラウザの役割（私たちのセキュリティモデル全体）は、あなたのデジタル資産と、混沌としがちな、しばしば悪意のあるインターネットという外部世界との間にセキュリティの壁を築くことでした。同一オリジンポリシー（SOP）、サンドボックス化、プロセス分離はすべて、CNN.comの悪質なスクリプトがBankOfAmerica.comのあなたの資格情報を読み取るのを防ぐために設計されたツールです。このモデルが機能したのは、キーボードの前に座っているユーザーが信頼できる門番であり、コンテンツ（ボタンのクリック）を行動（金融取引）に変換することを許可された唯一の人物だったからです。

AIエージェントの登場

この新しいデジタルアシスタントは、その基盤を打ち砕きます。それは、ユーザーから同時に信頼され（あなたのマシン、あなたのブラウザにあり、あなたの利益を最優先に考えている）、コンテンツに感染した（悪意のある行為者が思い描くすべてのものを読み、処理する）強力で自律的なエンティティです。もはや受動的なセキュリティ上の欠陥に対処しているのではなく、アーキテクチャ的信頼の危機に直面しています。

信頼境界のパラドックス

問題の規模をより深く理解するために、境界について話す必要があります。現在のブラウザを厳重に警備された金庫と想像してください。内部には、あなたの鍵、履歴、アクティブなセッションがあります。外部はWebの荒野です。

私たちが30年間戦ってきた悪意のあるコードは、クロスサイトスクリプティング（XSS）のペイロードのように、壁に小さな穴を開けようとする外部の力でした。私たちの防御は、それらの突き刺しを検出し、封じ込めることに優れていました。

しかし、AIエージェント（例：ChatGPT Atlas）は、信頼境界のパラドックスを作り出します。そのナイーブさのおかげで。

それはあなたの金庫の内部に存在します（それはあなたのエージェントであり、信頼できるアクセス権を持っています）が、常に外部に手を伸ばして、信頼できない外部コンテンツを掴み、そのコンテンツを内部に戻してそれに基づいて行動します。それはアクティブで特権的なプロキシとして動作します。- 私たちがマスターキーを渡したVIPコンシェルジュは、街の見知らぬ人からの提案を受け入れます。

エージェントは、ブラックハットハッカーによって生成されたプロンプトを読み、解釈し、壊滅的なXSS攻撃に相当するものを信頼できる内部位置から実行します。外部の脅威は、特権的な内部アクションに変換されています。それは、侵入というよりは、プロキシによる裏切りです。（それが劇的に聞こえるなら、お詫びしますが、信じてください、セキュリティチームはこれについて眠れなくなっています。）

サンドボックス化がもはや十分でない理由

最新のブラウザセキュリティの定番ソリューションはサンドボックス化です。プロセスを分離されたコンテナに分離することで、あるプロセスでの障害が他のプロセスに波及しないようにします。それは効果的で、必要であり、残念ながら、AIブラウザにはほとんど関係ありません。

なぜ？

AIエージェントは、混合的で広範囲にわたるコンテキストで動作するからです。それは、1つのきちんとした、分離されたタブに存在するわけではありません。それはしばしば、次のように設計されています。

開いているタブを読み、要約する： ワークメール、人事ポータル、銀行明細を同時に表示します。
資格情報/履歴へのアクセス： これは「役立つ」ために必要です。
アクションの相互受粉： タスク命令（例：「ロンドンへの旅行を予約する」）を受け取り、サインインした旅行サイト、企業の経費システム、カレンダーを使用してそれを実行します。

古い世界では、サンドボックス化されたプロセスが失敗することは、飛行機で1つのエンジンが故障するようなもので、1つのエンジンを失いましたが、飛行機は安全でした。AIエージェントは、設計上、最少権限の原則に意図的に違反するスーパープロセスです。そのコア機能は、複数の機密リソース間でドットを接続することです。

私たちは、分離されたコード実行に基づくリスクモデルを、遍在する特権的解釈に基づくものに置き換えました。隔離のために構築されたサンドボックス化ソリューションは、普及した接続のために設計されたシステムを保護できません。

それは、雲の周りに小さなフェンスを置くようなものです。

新しいセキュリティの焦点：セマンティックインテグリティ

このアーキテクチャは、Cスイートレベルでの戦略的なピボットを迫ります。私たちは焦点を以下から変えなければなりません。

$$\text{悪意のあるコード実行} \quad \rightarrow \quad \text{平易な言語に偽装された悪意のある指示}$$

脅威はもはやAssemblyのバッファオーバーフローではなく、エージェントの「役立ちたい」という意思を利用する平易な英語（または中国語、またはPython、またはSQL）の指示です。これをセマンティックインテグリティのリスクと呼びます。

ブラウザとエンタープライズセキュリティの未来は、ブラウザが何をしているのかを検出することに依存することはできません。それは、なぜそれを行っているのかを検証し、アクションの意図が信頼できるユーザーの実際の目標と一致していることを確認することに焦点を当てる必要があります。

この戦略的ピボットには、リスク管理方法の根本的な変化が必要です。

行動モデリング： 単純なネットワーク監視を超えて、エージェントの行動を監視する必要があります。なぜエージェントは突然過去100通のメールを読み、CEOの直接預金情報を変更しようとしたのですか？これは難しく、AIが関与するとさらに困難になります。
言語的検証： 新しい防御は、コードの起源だけでなく、命令の整合性をチェックするものでなければなりません。これは、従来の境界防御が解決するように設計されていなかった行動的および言語的なリスク管理の問題です。

AIブラウザは、生産性の大幅な飛躍です。しかし、このアーキテクチャの革命を、30年前のセキュリティ思考で扱う余裕はありません。古いモデルの崩壊は失敗ではなく、イノベーションへの明確な呼びかけです。会話は、攻撃から保護することから信頼できる意図を施行することに移らなければなりません。そして、「役立つ」アシスタントが会社を破産させる前に。