Brave Software home
ブログトピック AI news & features B2B & advertiser news BAT, creators, & Brave Rewards Brave Search news Browser performance Company news Developers & community New products & features Policy & legislation Privacy updates Web3, crypto, & NFTs WebStandards@Brave

エージェンティック・オーバーシェアリングによるプライバシーのリスク

公開済み

Twitterで共有する Reddit で共有 Telegramで共有 LinkedInで共有
Research
Authors

Ali Shahin Shamsabadi

AIエージェントは、ユーザーが公開したくないデータを、多くのケースにおいて公開してしまう傾向があります

オンラインで私たちの代わりにタスクをこなすLLMベースのエージェントは、多くの方に知られるようになりました。飛行機の予約やフォームへの入力など、あなたの認証情報や個人データを使いながら実際のWebサイトを操作し、さまざまな作業を自動化してくれる存在です。まるで長年夢見てきたデジタルアシスタントがついに実現したかのような、非常に強力な機能に思えます。しかし、これらのエージェントが機密情報にアクセスしながら実際のシステム上で動き始めた瞬間、重要な疑問が浮かび上がります。Webエージェントはあなたの代わりにタスクをこなす際、あなたのデータをどのように扱っているのでしょうか?プライバシーが保護されるものと思っている場合、その期待は実際に守られているのでしょうか?また、WebエージェントはWebサイトとのやり取りの中で、どのユーザー情報を開示していいのか判断できるのでしょうか?さらに踏み込んで言えば、プライバシーとは単なる設計上の考慮事項に過ぎないのか、それともエージェントによるタスク完了に欠かすことのできない要件なのでしょうか?

これこそが、Braveのインターンシッププログラムの一環として実施された新しい研究プロジェクト「SPILLAGE: Agentic Oversharing on the Web」で私たちが答えを求めた問いです。

Webエージェントの例

大規模言語モデル(LLM)を搭載したエージェントは、自分の代わりに日常のタスクを処理し、行動してくれるアシスタントが欲しいという、人間の根本的な欲求を満たすものであり、その領域がいよいよデジタル世界にまで広がってきました。エージェントは自然言語インターフェースを通じてユーザーがタスクを自動化することを可能にし、人間のアシスタントと同様に指示を受け取り実行します。Maes(1994)の言葉を借りれば、「同じ作業環境でユーザーと協働するパーソナルアシスタント」です。質問への回答に限定された、制御下のチャットボット環境とは異なり、エージェントはユーザーの目標を達成するために一連のアクションを自律的に計画・実行し、ユーザーの代わりに、あるいはユーザーの「拡張された心」(Clark & Chalmers, 1998)の一部として、委任されたタスクをこなします。

Webは、こうしたエージェント操作にとって最も重要な環境です。ユーザーは日常的な目標を達成するためにブラウザを通じて常にWebサイトと関わっており、ブラウザはエージェントが活動する場として自然な場所となっています。ページを手動で操作したり、選択肢を比較したり、同じ情報を繰り返し入力したりする代わりに、ユーザーは自らの意思でこれらのワークフローをWebエージェントに任せることができ、Webは手動操作の空間からインテリジェントな自動化の空間へと変わります。たとえば、希望の商品や最適なフライトを探すために複数のWebサイトを閲覧する代わりに、ユーザーはその面倒な作業をWebエージェントに委任することができます。エージェントは多くのWebサイトを訪問・操作・推論しながら、指示を最初から最後まで完遂します。

Webエージェントにおけるプライバシーリスクとユーザーの期待

タスクを遂行するために、Webエージェントはメール、カレンダー、チャット履歴、アカウントの認証情報といったユーザーの個人リソースへのアクセスを必要とし、ユーザーの代わりに効果的に行動するためにそれらの情報を活用します。たとえば、予約エージェントはスケジュールの競合を避けるためにユーザーのカレンダーにアクセスしたり、取引を完了するために支払い情報を取得したりする必要があります。

実行中、エージェントはユーザーの代わりにサードパーティのWebサイトやサービスと連携するため、大きなプライバシーリスクが生じます。機密性の高い個人情報はエージェント自体と共有されるだけでなく、タスクの完了過程でエージェントが関わるすべての外部当事者にさらされる可能性があります。ユーザーがより多くのアクションをエージェントに委任するにつれて、プライバシーリスクは複合的に増大します。エージェントは情報漏洩の起点となり、通常の手動ブラウジングをはるかに超える規模とスピードで個人データを集約・送信し、ユーザーが介入できる余地はほとんどないままプロセスを掌握してしまいます。

そのためユーザーは暗黙的にプライバシーが保護されることを期待しています。すなわち、自分の個人情報が保護され、エージェントがやり取りする外部の第三者に不適切に開示されないという期待です。

たとえば、以下の動画(2025年9月に実施した商用エージェントの評価より)では、Perplexity Cometがユーザーの会話履歴をサードパーティの検索インターフェースに直接コピーし、ユーザーが共有するつもりのなかった機密性の高い個人情報が開示されてしまう様子が確認できます。

YouTube logo

これは根本的な問いを提起します。Webエージェントが実際のWebサイト上でユーザーの代わりに行動する際、ユーザーのプライバシーへの期待をどれほど効果的に守り、尊重できているのでしょうか?

プライバシーと情報開示:エージェントはWeb上で何を、どのように共有するのか

制御されたチャットボット環境で動作する標準的なLLMとは異なり、Webエージェントは制約なく行動し、行動の痕跡を残します。これらの痕跡は単なる活動ログではなく、観測可能なシグナルです。入力されたすべての検索クエリ、送信されたフォーム、クリック、訪問したページは、外部サービス、アナリティクスシステム、およびプラットフォーム運営者に対して可視化されます。その結果、エージェントの行動はタスクの完了に厳密に必要な範囲を超えて、ユーザーに関する情報を意図せず共有してしまう可能性があります。

私たちはこの現象をナチュラル・エージェンティック・オーバーシェアリングと呼んでいます。これは、もともと人間のオンライン行動の特性として理論化されたオーバーシェアリング(Agger, 2012)を、ユーザーの代わりに行動する自律的なWebエージェントにまで拡張した概念です。

ナチュラル・エージェンティック・オーバーシェアリングの特徴を探り、その傾向を測定するために、私たちはSPILLAGE(Systematic Patterns of Implicit & Loud Leakage in web AGEnts)を導入しました。SPILLAGEはオーバーシェアリングを、情報開示の直接性(明示的か暗示的か)と、情報開示が行われるチャネル(コンテンツか行動か)という、2つの軸に沿って整理します。このフレームワークにより、Webエージェントがユーザーのプライバシーをどのように侵害しうるかについて、体系的かつ包括的な分析が可能になります。

以下の図は、ユーザーがショッピングリクエストとともに、タスクに関連する情報(緑)とタスクに無関係な情報(赤)の両方を含むリソースへのアクセスをエージェントに付与している様子を示しています。Amazon上でユーザーの代わりに血糖検査キットを検索するエージェントは、4つの異なる方法でユーザーが離婚していることを意図せず開示してしまう可能性があります。すなわち、サードパーティのWebページのテキストフィールドへの明示的または暗示的な情報入力、そして特定のクリックやフォームの選択といったアクションを通じた、時間をかけて観測される明示的または暗示的な行動の開示です。

Amazonの検索操作と結果を通じて、Webエージェントがタスクに無関係なユーザー属性(例:離婚していること)を明示的または暗示的に漏洩する可能性を示した図

オーバーシェアリングは広範に存在し、プロンプトレベルの対策では不十分

私たちはSPILLAGEを使用して、3種類のユーザーリソース(チャット履歴、メール、一般的な個人情報)に基づく180件のショッピングタスクのデータセットを用いて、2つの実際のEコマースWebサイト(AmazonとeBay)におけるナチュラル・エージェンティック・オーバーシェアリングを評価しました。2つのオープンソースエージェントフレームワーク(Browser-UseAutoGen)を、3つのバックボーンLLM(GPT-4o、O3、O4-mini)で検証した結果、合計1,080回の実行となりました。

すべての構成において、ユーザーの知らないうちにオーバーシェアリングが広範に発生しており、行動的オーバーシェアリングがコンテンツ的オーバーシェアリングを一貫して上回ることを実証しました。この効果はプロンプトレベルの対策を施しても持続し(場合によってはさらに悪化することも)、プロンプトレベルでエージェントにプライバシーを意識するよう指示するだけでは、ナチュラル・エージェンティック・オーバーシェアリングの深さと広さに対処するには不十分であることを示しています。

Webエージェントにおいてプライバシーとユーティリティは相反しない

プライバシーとユーティリティは相反するもの、つまりエージェントが共有する情報を制限すればタスクのパフォーマンスが犠牲になるという思い込みが一般的にあります。しかし、私たちの研究結果はこの思い込みに異議を唱えます。エージェントへの入力から実行前にタスクに無関係な情報を手動で除去したところ、タスクの成功率が最大17.9%向上しました。これは、オーバーシェアリングを減らすことがエージェントのパフォーマンスを妨げるどころか、実際にはパフォーマンスを向上させることを示しています。

この観点から見れば、プライバシーとユーティリティは対立するものではなく、むしろ協力し合うものです。この研究結果が行動を促すきっかけになることを願っています。プライバシーを意識したWebエージェントを構築することは、能力への制約ではありません。エージェンティック・オーバーシェアリングの根本原因を理解し対処することは、プライバシーの観点からだけでなく、パフォーマンスの観点からも不可欠なのです。

Braveでは、こうしたプライバシーリスクを積極的に特定し、エージェントがプライバシーを意識したものとなるよう取り組んでいます。ご興味があれば、Brave NightlyのBrave Leoでエージェンティック・ブラウジングの早期バージョンをぜひお試しください。

関連記事