Brave Nightly でAIブラウジング機能のアーリーテストが利用可能になりました
本日より、Braveの新しいAIブラウジング機能がBrave Nightly(テストおよび開発用ビルド)で先行試験とユーザーフィードバックを目的として利用可能になったことをお知らせいたします。正式リリースの準備が整えば、このエージェント体験によってブラウザは本当の意味でのスマートなパートナーになり、そしてタスクの自動化により、より多くの作業ができるようになることを目指しています。
しかし、エージェント型ブラウジングは本質的にリスクを伴います。AIにブラウジング体験の制御を与えることで、個人データが漏洩したり、AIが意図しない行動を取ったりする可能性があります。セキュリティ対策はあらゆるケースを網羅することが難しく、失敗すると大変なことになります。これは、私たちがこれまでに発見し責任を持って開示してきた様々な脆弱性で示してきた通りです。間接的プロンプトインジェクションは、AI搭載ブラウザというカテゴリ全体が直面する大きな課題です。
このため、私たちはBraveブラウザでのAIブラウジング機能のリリースとセキュリティ研究者からの意見収集について、慎重なアプローチを行うことにしました。テストと開発に使用するNightly版のBraveで、オプトインフラグを有効にしたユーザーにのみAIブラウジングを提供します。今後も一般の皆様からのフィードバックを受けて、セキュリティ機能を継続的に強化していきますが、現在は以下のようなセキュリティ措置を設けています。
- AIブラウジングは現在、Braveの統合AIアシスタントLeoを通じて、オプトインフラグの制御で Nightlyチャンネルでのみ利用可能です。
- AIブラウジングは分離されたブラウジングプロファイルでのみ実行され、通常のブラウジングデータを安全に保ちます。
- AIブラウジング向けに、制限や制御機能がブラウザに組み込まれています。
- AIブラウジングでは、悪意のあるWebサイトに対する追加の保護手段として、推論ベースの防御機能を使用します。
- AIブラウジング体験は手動で起動する必要があり、ユーザーがブラウジング体験を完全にコントロールできるようになっています。
- BraveのすべてのAI機能と同様にAIブラウジングは完全にオプションであり、デフォルトではオフになっています。
これらの対策は大いに効果的ですが、ユーザーや早期テスターの皆様はこ、のようなセキュリティ措置がプロンプトインジェクションなどのリスクを完全に排除するものではないことをご認識ください。オープンソースブラウザとして、GitHubでの障害報告や機能リクエストを歓迎します。また、AIブラウジングのセキュリティ問題を発見した方は、バグバウンティプログラムにぜひご報告ください。この早期リリース段階では、AIブラウジングの有効かつ対象範囲内のセキュリティ問題には、通常の報酬額の2倍を提供します(詳細はHackerOneをご覧ください)。
リスクはありますが、AIブラウジングは大きな可能性を示しています。2025年ブラウザAIロードマップでお伝えしたように、AIはユーザーのニーズに適応するスマートでパーソナライズされた協力者となり、最終的にWeb閲覧の方法を変革できると確信しています。たとえば、複数のWebサイトにアクセスして分析することでトピックを調査したり、異なるショッピングサイト間で商品を比較したり、購入前に有効なプロモーションコードをチェックしたり、お好みの方法でニュースを要約したりできます。セキュリティとプライバシーの課題は新しく重要なものですが、AIブラウジングが広く採用されるブラウザ機能になる可能性を考えると、まず早期テスターからフィードバックを得て、すべてのユーザーにとって安全なソリューションに向けて改善を重ねる必要があります(下記の「AIブラウジングのテスト方法」セクションをご覧ください)。
AIによる望んでいないアクションを防ぐ
根本的に、エージェント型ブラウジングのセキュリティとプライバシーのリスクは、アライメント(整合性)に関係しています。これは、AIが意図しない行動を取ることを防ぎたいということです。これは困難なセキュリティとプライバシーの問題です。AIブラウザエージェントへの入力が自由形式であること、そしてブラウザがWebにアクセスできるレベルを考えると、特定のプロンプトは基本的にほぼすべてのWebサイトのあらゆるリクエストに適用される可能性があります。
加えて、推論モデルは確率的です。つまり、AIモデルへの同じリクエストでも、異なるタイミングで異なる結果を生成する可能性があるため、AIブラウザエージェントが取り得る行動の出力空間を制限することは困難です。
セキュリティエンジニアが単にLLM(大規模言語モデル)に悪いことをしないように指示するだけで済めば簡単です。しかし残念ながら、ブラウザのアクセスレベルと今日のモデルの推論能力を考えると、この戦略が単独で機能すると想定するのは甘い考えです。モデルが危険な行動を実行するように誘導することは依然として比較的容易であり、モグラ叩きのように新しいセキュリティ脆弱性を常に追いかける状況は避けたいと考えています。
さらに、Webサイト上の間接的プロンプトインジェクション(攻撃者がさまざまな方法でWebコンテンツに悪意のある指示を埋め込む)についての懸念だけでなく、エージェント型ブラウジングのセキュリティ脅威モデルには攻撃者がいないケースもあります。場合によっては、AIが単にユーザーのコマンドを誤解釈する可能性があるのです。これらを踏まえて簡単に整理すると、Braveユーザーを保護したいリスクは以下の二つです。
- Webサイト上でプロンプトインジェクションを行おうとする悪意のある攻撃者
- 混乱し、ユーザーに有害な行動を取ってしまう言語モデル
私たちは、あらゆるエージェント型ブラウジング体験には、これら2つの脅威に対する強固な保護機能が必要であると考えています。
セキュリティの脅威に対する防御
潜在的なリスクを考慮するとすべてに対応できるということではありませんが、以下に示す保護策は初期のユーザーテスト段階であっても、エージェント型のブラウジング体験を展開する前に最低限必要だと私たちが考えるものです。
AIブラウジング用の隔離されたストレージ
多くのユーザーは、メインのBraveブラウザプロファイルで機密性の高いWebサイト(銀行のWebサイトやメールアカウントなど)にログインしている場合があり、AIブラウジングでは攻撃者がこれらのログイン済みサービスにアクセスするのを防ぐ必要があります。そのため、BraveのAIブラウジングは、通常のプロファイルとは別にストレージを準備します。Cookie、ログイン状態、キャッシュ、その他のサイトデータはプロファイル間では共有されません。これにより、もしも防御機能が失敗し、モデルが危険な動作をするように操作された場合でも、被害を抑えることができます。
エージェント型ブラウジングに内在するリスクを考えると、ユーザーは手動でAIブラウジングを起動する必要があります。AIブラウジングを有効にすると、Braveは新しいブラウザプロファイルを作成します。この新しいプロファイルは、AIエージェントが利用できるデータを、通常使用しているデータから隔離します。
現時点では、ブラウジングデータを完全に隔離するこのアプローチが、AIブラウジングにとって最も安全な方法であると私たちは考えています。
モデルベースの保護機能
私たちは、AIエージェントのモデル(タスクモデル)の動作をチェックする二つ目のモデルを使用しています。この「アライメントチェッカー」は安全装置として動作し、システムプロンプト、ユーザープロンプト、タスクモデルの応答を受け取り、タスクモデルの指示がユーザーの意図と一致しているかを確認します。このチェッカーは、Webサイトのコンテンツは直接受け取りません。信頼できないWebサイトの入力から遮断することで、ページレベルのプロンプトインジェクションによる改ざんのリスクを(完全に排除することはできませんが)軽減できます。また、セキュリティを考慮したシステム指示も提供しています。これは、私たちが作成した構造化されたプロンプトで、時間をかけて改良していくポリシーベースのルールをエンコードしたものです。加えてClaude Sonnetなど、プロンプトインジェクションを軽減するように訓練されたモデルを使用しています。
注意すべき点として、安全装置は安全性を保証する訳ではなく、リスクの軽減には役立ちますが完全に排除することはできません。LLMは非決定論的で誤りを起こす可能性があり、タスクモデルの出力は、信頼できないページコンテンツによって改ざんされ、アライメントチェッカーモデルを攻撃するために悪用される可能性があります。
ブラウザ制御とUX
プライバシーエンジニアリングの本質的な目標のひとつは、ユーザーにとって予期しないアクションを減らすことです。そのため、BraveのAIブラウジングは、ユーザーが意図的に起動しなければ使用できないようになっています。通常のAIアシスタントLeoは、同意なしに独自にAI制御によるブラウジングを行うことはできず、ユーザーのプロンプトに基づいてブラウジングアクションを提案するに留まります。また、Braveブラウザの プライベートウィンドウ や Torを使用したプライベートウィンドウ が異なるスタイルで表示されるのと同様に、AIブラウジングプロファイルはLeoとは異なるスタイルで表示され、明確なアクションの合図があります。これにより、ユーザーがAIブラウジングモード中であることが明確にわかります。
BraveのAIブラウジングはユーザーによる操作でセッションを確認したり一時停止したりすることができ、AIが独自にセッションログを削除することはできません。ユーザーに代わって行われるすべてのブラウジングは、サイドバーに隠されるのではなく、開いているタブで実行されます。そして、いつでもユーザーはエージェントセッションからすべてのデータを削除できます。
安全装置としてはその他以下のものもあります。
- AIブラウジングは、内部ページ(
brave://settingsなど)、HTTPSでないページ、Webストアの拡張機能ページ、またはセーフブラウジングによってフラグが付けられたWebサイトにはアクセスできません。 - 上記で説明した推論モデルベースの保護によって不整合が検出されたアクションは、ユーザーに警告を表示し、明示的な許可を必要とします。
- エージェント型ブラウジングとブラウザ内アシスタントの両方のユースケースにおいて、ユーザーは保存が提案されたメモリを確認でき、その後取り消すこともできます(これにより保存型プロンプトインジェクション攻撃を防ぎます)。
比類のないプライバシー
プライバシーファーストの企業としてお客様のデータを保護するというBraveのコミットメントに基づき、私たちは厳格なログを保持しない・データを保持しないデータプライバシーポリシーを守ります。
これはあえて強調する意味があります。BraveのAIブラウジングは、他のエージェント型ブラウザとは異なり、お客様のデータで学習することは決してありません。
いつものようにAIブラウジング中でも、煩わしい広告やトラッカーのブロックなど、Braveブラウザの最高クラスのプライバシー保護機能をすべて利用できます。
許可プロンプトに関する注意事項
AIブラウジングでは、サイトごとの許可プロンプト方式(例:「example.comでエージェントアクションを許可しますか?」)は使用していません。私たちのブラウザ開発経験から、不完全なコンテキストで繰り返される低シグナルのセキュリティプロンプトは、ユーザーに警告を無視するよう訓練してしまい、保護機能の低下につながることがわかっています。セキュリティ上重要な決定をユーザーに求める際には慎重になりたいと考えており、これはモデルベースの保護によって潜在的にリスクがあると検出された特定のアクションに限定します。ただし、ユーザーや研究者からのフィードバック、およびユーザーがブラウザでAIをどのように使用しているかについての知見を踏まえて、サイトごとの許可方式については今後再評価する可能性もあります。
BraveのAIブラウジングのこれから
AIブラウジングは強力であり、Nightlyでユーザーテストとして公開できることを嬉しく思っています。同時に、私たちはユーザーを保護し、プライバシーとセキュリティというBraveの本質的な約束を守りたいと考えています。これは現在進行中の取り組みです。AIブラウジングは、ユーザーのプライバシーとセキュリティを犠牲にして急いで提供すべき体験ではありません。ユーザーのフィードバックから多くを学び、エージェント型ブラウザ分野全体にも利益をもたらす改善と貢献を行うことを期待しています。私たちは透明性、抑制、そしてユーザーの意図への敬意をもって、エージェント型体験を構築しています。最終的にAIはBrave本来の使命、つまりオンラインで人々に力を与え、保護するための一つのツールに過ぎません。これが私たちが引く線であり、この線の上をを歩き続けるために、ユーザーや研究者からのフィードバックをお待ちしています。
AIブラウジングのテスト方法
Brave Nightlyで、brave://flags の “Brave’s AI browsing” フラグを有効(“enabled”)にすることで、AIブラウジングのテストをすることができます。この機能フラグは、上級ユーザーが実験的な機能を有効/無効にするための二次的な設定ページ内のスイッチとなっています。そしてBraveブラウザの統合AIアシスタントであるLeoの画面でメッセージ入力ボックスのボタンを通じて、AIブラウジングを有効にできます。Braveのすべての AI機能と同様に、AIブラウジングは完全にオプションであり、Leoはいつでも無効にすることができます。
AIブラウジングに関する詳細はこちらをご覧ください。AIブラウジングでお気づきの点についてはこちら、ご要望についてはこちら、そしてセキュリティ関連の障害についてはこちらまでご連絡ください。
