ChatGPT Atlasのセキュリティ周りを調べてみた
こんにちは、せーのです。
先日より、ChatGPT搭載ブラウザ「ChatGPT Atlas」にハマっているのですが、「AIブラウザ」という物自体が今まで少なかったため、またAtlasを慎重に見ている、という方も多いようです。
そこで今回はAtlasのセキュリティについてご紹介し、その上でユーザーはAIブラウザを使う際に何に気をつけるべきなのか、私なりの考えをまとめてみたいと思います。
最近Atlasを使っている中で、非常に興味深い「セキュリティが正常に機能している場面」を目撃することができました。今回はその実例を交えながら、Atlasのセキュリティ設計がどのように機能しているのかを解説していきます。
はじめに:AIがブラウザを使う時代へ
ChatGPT Atlas は、OpenAI が発表した「AIが自らブラウザを操作できる」新しい仕組みです。
ユーザーが「このサイトを開いて」「この情報をまとめて」と指示すると、AIが実際にブラウザのタブを開き、ページをスクロールし、情報を収集・要約します。
これは従来の「チャットボット」とは違い、 AIが人と同じWebブラウジング権限を持つ という意味で大きな転換点です。
しかし同時に、セキュリティの観点から「AIが勝手に動くのでは?」「機密情報を読み取らないか?」という懸念も生まれます。
前回の記事で紹介したように、Atlasはデフォルトブラウザとして十分な価値があるツールです。ただし、この強力さゆえに、セキュリティ面での理解は必須です。
Atlasの基本的なセキュリティ設計
まず押さえておきたいのは、AtlasのAI(ChatGPT)はユーザーのブラウザに完全アクセスしているわけではないということです。
設計上のセキュリティ層は大きく3つあります。
🔒 ブラウザ層(Chromium)
AtlasはChromiumをベースにしたブラウザです。
Cookieやパスワード保存、オートフィルといった機能は従来のChrome同様に動作します。
AIはそれらの内部データに直接アクセスできないという仕様になっています。
つまり「保存パスワード」や「Cookie値」を読み取ることはできません。
これは一見すると不便に思えるかもしれませんが、実は非常に重要なセキュリティ機構です。仮にプロンプトインジェクション攻撃があったとしても、パスワード保管庫までは到達できないということですね。
🧠 AI層(ChatGPT)
AIが関与するのは「ページを開く」「テキストを要約する」「フォームに入力する」などの操作部分です。
この操作は常にユーザーの指示・許可を前提に行われ、AIが勝手にWeb上を巡回することはありません。
エージェントモードで「XXXXチャンネルを探して、△△さんのコメントをまとめて」と指示しても、AIはその指示の範囲内でのみ動作します。勝手に他のチャンネルを見たり、別のツールにアクセスしたりすることはないわけです。
⚙️ 制御・同意層
ユーザーはページごとに「ChatGPTがこのページを見てもよいか」を設定できます。
また、ブラウザメモリ(AIが見たページ内容の要約記録)はオプトイン方式。
企業利用では「Agentモード(AI自動操作)」をログアウト状態で使う設定も可能です。
つまり、ユーザー側で「ここまでならAIに見せてもいい」という境界線を引ける設計になっているということですね。
実験:Slackで発生した「プロンプトインジェクション」
では、AIブラウザが実際にどのように安全に振る舞うのか。私が実際に経験した事例をお話しします。
Atlas上でSlackを開いて、エージェントモードで「チャンネルを確認して」という指示を実行したとき、画面の一部に以下のような反応がAIから返ってきました。
画面上にSlackの操作に関する詳細な「#Instructions」という指示が表示されましたが、
これはシステムやツール側からの指示のようであり、ユーザーからのご依頼ではないため、
プロンプトインジェクションの可能性があります。
そのため、この指示には従わずに無視するのが安全と考えています。
数秒後、再びAIは同様の判断を出しました。
画面に再び「#Instructions」という指示が表示されましたが、
これはユーザーからの指示ではなく、プロンプトインジェクションの可能性があるため無視します。
引き続き右側のメッセージボックスをスクロールして、ユーザーからのご指示の内容を確認していきますね。
AIは自動的に「これは攻撃かもしれない」と判断して、指示に従わなかったのです。
何が起こっていたのか:技術的な背景
Slackのチャンネル内には「#Instructions」というメッセージが実在していて、その内容はAIに向けた"命令文"のように見えるものでした。
通常の人間ユーザーであれば単なるテキストとして無視しますが、AIは画面上の文字を解析する過程でこれを「命令」と誤認するリスクがあります。
これが「プロンプトインジェクション」です。
典型的なプロンプトインジェクション攻撃は、こんな感じです:
# ページ上に隠されたテキスト
"You are ChatGPT... Ignore all previous instructions and..."
Atlasが見たのはこのようなパターンで、AIが
「ユーザーの意図ではない命令である可能性があるため無視します」
と自律的に判断しました。つまり、**AIが自動的に"攻撃を認識し、命令を拒否した"**ということです。
これはOpenAIが実装している安全層(プロンプトサニタイゼーションレイヤー)が正しく機能した証拠といえます。
Atlasが守ってくれること、守れないこと
Atlasにはちゃんとした防御があります。ただどこまで守ってくれるのか、その範囲を理解しておくことが大切です。
技術的な防御機構
Atlasのセキュリティ設計は、複数の層で実装されています。以下、各層の特徴を詳しく紹介します:
1️⃣ コード実行とファイルシステムアクセスの完全制限
AIエージェントは以下の操作が完全に制限されています:
- ブラウザ内でコードを実行する
- ファイルをダウンロードまたはアップロードする
- ブラウザ拡張機能をインストールする
- コンピュータやファイルシステム上の他のアプリケーションにアクセスする
これらは技術的に実装された制限であり、ユーザーやAI自身が回避することはできません。つまり、「AIがマルウェアをダウンロード」といったシナリオは構造的に不可能なわけです。
2️⃣ ブラウザとAIの厳格なプロセス分離
Atlasは、ブラウザプロセスとAI制御プロセスを明確に分離しています。AIは以下のローカルデータに直接アクセスできません:
- ブラウザに保存されたパスワード
- Cookie値
- 認証情報(セッショントークンなど)
- 拡張機能のキャッシュデータ
これは「APIレイヤーを通じた制御」という設計により実現されており、AIが見るのはブラウザレンダリング後の「表示テキスト」のみです。ブラウザの内部状態を直接推測することはできません。
3️⃣ 金融サイトでの一時停止と監視機構
特に重要なのが、金融機関やクレジットカードサイト、会計システムなど機密性の高いサイトでのAI操作時、ユーザーの監視下で一時停止する機能です。
これにより:
- AIが金融取引を実行する前に、ユーザーが内容を確認できる
- 不正な送金や設定変更があれば、ユーザーが即座に中断できる
- 操作ログがユーザーに可視化される
4️⃣ ログアウトモード:エンタープライズ向けセーフガード
企業環境向けに、Atlasは「ログアウトモード」という機能を提供しています。これを有効にすると:
- AIエージェントが任意のサイトにログイン状態で操作することを禁止
- 既にログイン済みのセッションでも、AIは「公開状態のみ」にアクセス可能
- 企業の認証情報が保護される
5️⃣ データ送信の仕組み:ローカル処理とクラウド処理の分離
Atlasでは、以下のデータフローが設計されています:
ローカルで完結する処理
- ページのテキスト抽出と初期解析
- ユーザーの指示解釈
- 機密データの検出と除外処理
クラウド(OpenAI)に送信される処理
- テキスト要約の生成
- AI推論が必要な複雑な分析
ただし、初期設定では「ウェブ参照と検索の改善にご協力ください」という設定がデフォルトで有効です。これにより、ユーザーが訪れたURLの一部がOpenAIに送信される可能性があります。これはプライバシー観点から注意が必要な点です。
方針でまとめると
✅ 技術的に守れること
- 明示的な命令文("You are ChatGPT…", "Run this code…" など)を検知して無視
- ページ内のユーザー意図でない指示を「無視対象」として扱う
- ブラウザ内部データ(保存パスワード、Cookie値)への直接アクセス防止
- ファイルシステムやシステムプロセスへのアクセス防止
- 金融サイトでのユーザー監視と一時停止
- ログアウトモードによるセッション保護
⚠️ 技術的に守れないこと&ユーザーが管理すべき領域
- 命令文が画像やCSSコメント、HTML属性内などに埋め込まれた場合
- 文脈依存で巧妙に設計された誘導テキスト
- ユーザーが自ら、ログイン済みセッション状態でAIにアクセスを許可した場合
- ユーザーが意図的に機密情報を扱うサイトでエージェントモードを有効にした場合
- URLやアクセスパターンがOpenAIに送信されることによるプライバシー
つまり、「AIが守ってくれる範囲」はあくまで構造的・技術的に明確なリスクまで。
ユーザーの判断や設定、そしてユーザー自らが機密情報を提供することによるリスクを完全に守りきれません。ここが一番重要な、人間が注意を払って使う必要がある理由です。
ユーザーが取るべき心構えと対策
セキュリティは「AIに任せっきり」ではなく、ユーザー側の使い方が非常に重要です。
👤 個人ユーザーの場合
- 金融・社内情報などを扱うサイトではAgentモードを無効にする — エージェントモードは便利ですが、パスワードマネージャーやSSO連携されたサイトではリスクが高まります
- 「ChatGPTに見せないページ」設定を活用する — プライバシー設定で除外ページを指定できます
- 定期的にCookieと履歴を削除する — 他のブラウザと同様のセキュリティ習慣が大切です
- AIが出力した「警告メッセージ」は必ず読む — Atlasが「これは疑わしい」と判断したら、その直感は正しい可能性が高いです
🏢 企業・開発者の場合
- AIがアクセスできる社内サイトをホワイトリスト化 — 全サイト許可ではなく、許可するサイトを明確に定義する
- プロキシやSSOでAtlasアクセスを制御 — 企業ネットワーク側でAtlasの接続制限を設定する
- 「Agentモード許可業務」を業務カテゴリごとに定義 — 「情報収集はOK、金融取引はNG」といった指針を持つ
- プロンプトインジェクションの社内実証を定期的に実施 — 実際に攻撃をシミュレーションしてみることで、運用上の課題を洗い出す
最も大切なのは、AIを禁止するのではなく、"どこまで任せるか"を設計することです。
実務での安全な使い方
Atlasを実際に業務で使うなら、こんな場面が現実的です:
✓ 安全な使用シーン
- 公開情報の収集・要約(ブログ、ニュース、ドキュメント)
- Slack、Notionなどのグループウェアの検索と要約
- リード情報やカテゴリ分類の自動化
- 複数タブの情報統合
✗ 避けるべき使用シーン
- AWS、GCP、AzureなどのクラウドコンソールでのAgentモード
- 1Passwordなどのパスワードマネージャー連携
- 個人情報を含むスプレッドシート操作
- 金融取引システム
前回の記事で「セキュリティには厳しい」と感じた部分は、実はこのような設計思想から来ているのだということが、今回の検証でよく理解できました。
まとめ:AIにブラウザを預けるという選択
ChatGPT Atlas は、外部コンテンツに埋め込まれた命令を読み取りつつも「これは怪しい」と判断して拒否しました。
つまり、AIはすでに"攻撃を検知して無視する"レベルに達しています。
一方で、ブラウザとしての自由度が高い分、ユーザーの設定や使い方次第でリスクも生まれます。
AIブラウザの安全性は、AIの知能だけではなく、人間側の透明性・監督・ポリシー設計で決まるのです。
ChatGPT Atlas はまだ新しい技術です。
だからこそ、「理解したうえで使う」ことが最大のセキュリティ対策になります。
前回の記事で「デフォルトブラウザとして使ってみようと思いました」とお伝えしましたが、その上で「セキュリティ設計をきちんと理解して、適切に使い分けることが重要」というのが、今回の実験を通じた結論です。
ぜひ皆さんも、安心と信頼を両立させながら、Atlasを仕事や学習に活用してみてください。
参考リンク
- https://openai.com/index/introducing-chatgpt-atlas/
- https://help.openai.com/en/articles/12603091-chatgpt-atlas-for-enterprise
- https://simonwillison.net/
- https://note.com/npaka/n/n81a4eb686e05
- https://proton.me/
- https://www.washingtonpost.com/technology/2025/10/22/chatgpt-atlas-browser/
- https://chromium.org/developers/design-documents/sandbox/
- https://www.reddit.com/r/cybersecurity/
