OpenAIは、ウェブ上での人々のあらゆるやり取りにChatGPTを直接組み込んだ新しいブラウザ、ChatGPT Atlasをリリースしました。同社はこれを、お客様と一緒にウェブサイトを移動し、お客様が見ている内容を解釈し、お客様がリクエストしたタスクを完了するデジタルアシスタントへの一歩であると説明しています。
現在 Mac でのみ利用可能な Atlas は、並外れた利便性を約束します。しかし、未知の結果を伴う新たなプライバシーとセキュリティのリスクももたらします。OpenAI は、製品がユーザーデータをどのように保護するかについてのいくつかの重要な質問にまだ答えていません。
しかし、その主な利点と、それに伴う深刻なプライバシーリスクを検討するには、すでに十分なことがわかっています。
ChatGPT Atlas の仕組み
Atlas は、ブラウジングの機能を変える2つのコアシステムを導入しています。1つ目の「ブラウザメモリ」は、どのサイトにアクセスし、どのようにやり取りしたかを記録し、ChatGPT の回答をより個人的なものにすることを目的としています。2つ目の「エージェントモード」は、AI がブラウザウィンドウ内でページを開いたり、フォームに入力したり、タスクを実行したりできるようにします。
OpenAI は、これらの機能はオプションであると述べています。無効化したり、データを消去したり、プライベートに閲覧したりできます。また、同社は、オプトインしない限り、ブラウジングコンテンツはモデルのトレーニングから除外されるとも述べています。
しかし、再発明を謳っているにもかかわらず、ChatGPT Atlas は依然として Chromium で動作しています(新しいウィンドウ)。これは Chrome や Edge の背後にあるのと同じオープンソースエンジンです。
そのフレームワークは、ユーザー設定と習慣に依存しています。多くの調査によると、ほとんどの人はデフォルト設定を変更しません(新しいウィンドウ)。そして、初期の AI ブラウザは、実際の条件下でそのような制御がいかに脆弱になり得るかを示しています。
AI ブラウザのセキュリティリスク:これまでに研究者が明らかにしたこと
最初の AI ブラウザの1つは、2025年7月にリリースされた Perplexity の Comet でした。Time 誌が最初に報じた(新しいウィンドウ)ブラウザの AI システムの脆弱性は、AI ブラウジングが新たな攻撃ベクトルを開く可能性があることを明らかにしました。LayerX の研究者は、CometJacking と呼ばれる脆弱性を発見しました(新しいウィンドウ)。これにより、悪意のあるリンクが URL 内に命令を隠すことができました。クリックされると、Comet の AI はそれらのプロンプトを実際のコマンドとして解釈しました。
テストの結果、ブラウザは Gmail やカレンダーからデータを引き出し、悪意のあるファイルをダウンロードし、場合によっては詐欺ウェブサイトで購入を試みることさえできることが示されました。iTnews は後に(新しいウィンドウ)、Comet を過剰に熱心なアシスタント(行動は早いが、疑わしい指示に疑問を抱くのは遅い)と表現した Guardio 研究者による同様の調査結果を詳述しました。Kaspersky の分析(新しいウィンドウ)はさらに進んで、AI をブラウザに直接統合することで、悪意のあるウェブコンテンツがブラウザを操作するための直接的なチャンネルが得られると警告しました。
なぜ Atlas は設計上危険なのか
検索は常に監視でした。AI 検索はそれを密接な監視にします。Atlas はそれを完全な監視にします。
Google のような従来のエンジンは、病気の症状、レシピ、法的な質問など、孤立した質問をキャプチャします。対話型 AI は、それらの断片をストーリーに変えます。明確化を求め、フォローアップを促し、コンテキストを記録します。時間が経つにつれて、これらのやり取りは私生活の詳細なポートレートを作成し、あなたの意図、脆弱性、意思決定パターンに関する物語を構築します。
これは、ChatGPT アプリに限定されている場合でもすでに危険です。Atlas を使用すると、その同じメカニズムがブラウザ内に存在し、OpenAI にオンラインでのあらゆるやり取りの完全な監視を提供します。
OpenAI 独自のドキュメント(新しいウィンドウ)では、Atlas がアクセスしたページを表示し、ブラウザメモリを通じてそのコンテンツを記憶し、エージェントモードを通じてあなたの代わりに行動できることを確認しています。各層で可視性が高まります。Atlas はクエリを登録するだけでなく、何を読んでいるか、どれくらいの時間滞在しているか、次に何をするかを観察します。
その結果、意図と行動の単一の包括的な記録が作成されます。OpenAI がこのコンテンツはデフォルトでトレーニングに使用されないと言っていても、パーソナライズのために処理および分析されます。推論を通じて、Atlas は日常的な行動を結び付けて、不安の症状の検索とセラピストのディレクトリや薬の研究をリンクさせて、その人のメンタルヘルスの全体像を形成するなど、明らかな物語を構築できます。
プライバシーコントロールは存在しますが、絶え間ない警戒が必要です。ユーザーは可視性を切り替えたりメモリを削除したりできますが、ほとんどの人はそれらの設定を管理することを忘れてしまいます。データを取得したり、削除したりすることはできます。しかし、モデルはあなたがしたことについてすでにトレーニングされています。
Atlas は、検索データとブラウザデータを組み合わせることで Google が達成した以上の監視を拡張します。OpenAI は、AI 会話、ウェブインタラクション(検索エンジン外のものを含む)、および個人データの収集を、コンテキストを理解しそれに基づいて行動する単一のインターフェースに統合しました。
プライバシーとデータ露出の懸念
TechCrunch は、Atlas が回答をパーソナライズするためにブラウジングアクティビティの記録を保持していると報じています(新しいウィンドウ)。Kaspersky は、このレベルで統合された AI は、デバイストラフィックやファイルへの完全な可視性を持っていると警告しています(新しいウィンドウ)。その可視性には、サブスクリプション、仕事上のドキュメント、財務データなどのプライベートな資料が含まれる可能性があります。
AI ブラウザは、受動的なデータ収集から継続的な行動マッピングへの移行を示しています。アクセスしたすべてのページ、書かれたすべてのプロンプト、委任されたすべてのタスクは、行動を予測し影響を与えるように設計されたフィードバックループの新たなシグナルとなります。
OpenAI は、プライバシーの切り替え、データ削除、シークレットブラウジングなどのユーザー設定を安全策として挙げています。しかし、これらは表面的なコントロールにすぎません。AI が点と点を結び付けると、データの1つを削除しても、すでに構築されたストーリーは消去されません。Atlas は個別のエントリを忘れるかもしれませんが、推論は残ります。
このモデルは、ウェブの最も強力な2つのデータ収集エンジンである検索インデックスとブラウザを統合し、観察した内容について推論できる AI を重ね合わせています。
フックとなるのは、それが役立つということです。買い物リストを整理するツールは、財務行動もマッピングします。セラピーの調査を支援するツールは、感情状態も推測します。パーソナライゼーションとして現れるのは、共感をマスクとしたデータの抽出です。
以前の監視資本主義は、プライバシー設定を更新するのが面倒だというユーザーの無関心に依存していました。Atlas はエンゲージメントに依存しています。非常にスマートで便利なので、信頼せざるを得ないのです。
Atlas が機密用途に適していない理由
Atlas はハンズフリーブラウジングへの大胆な一歩ですが、信頼のために構築されているわけではありません。それを強力にするのと同じ設計上の選択が、それを安全でないものにしています。セキュリティ研究者やテスターは、AI ブラウザについて一貫した結論に達しています。それは、驚くべきデモンストレーションではあるが、日常生活には信頼できないということです。
Atlas を試す場合は、テスト環境のように扱ってください。銀行業務、仕事、個人アカウントは別の場所に置いておきましょう。その安全策が現実世界の脅威に耐えられると想定しないでください。
OpenAI は Atlas のセキュリティを改善するでしょうが、今日、AI ブラウザを使用することは、会社にオンライン行動への直接的な可視性を与え、そのアクセスが保護されたままであることを望むことを意味します。
その懸念は OpenAI 自体にとどまりません。同社はパートナーやサードパーティのサービスプロバイダーとデータを共有し、直接の管理を超えてアクセスの輪を広げているからです。例えば、OpenAI のパートナーが関与した侵害により API ユーザーデータが流出しました。これは、情報が ChatGPT エコシステムに入ると、追加されるすべての当事者が潜在的な弱点になることを思い出させるものです。
安全を守るプライベート AI アシスタントを使用する
別のアプローチがあり、すでに何百万人もの人々に利用されています。
Lumoは、知能とプライバシーが共存できることを証明するために構築された、ProtonのプライベートAIアシスタント(新しいウィンドウ)です。厳格なノーログポリシーの下で動作します。チャット履歴はゼロアクセス暗号化で保護されており、Protonでさえもこれを読むことはできません。会話がトレーニングに使用されることは決してありません。コードとモデルはどちらもオープンソースであり、誰でも裏側で何が起きているかを確認できます。ユーザーは自分のデータを完全に所有します。また、Lumoは広告主ではなくコミュニティによって資金提供されているため、個人情報を悪用する商業的なインセンティブはありません。
それが監視 AI とプライバシー AI の違いです。一方はデータを収集するために構築され、もう一方はデータを保護するために構築されています。
