ceLLMate: Sandboxing Browser AI Agents

本論文は、ブラウザ操作 AI エージェントが提示注入攻撃に脆弱であるという課題に対し、UI 操作とバックエンド通信の関連性に着目し、HTTP レベルでのサンドボックス化を実現する「ceLLMate」を提案し、WASP ベンチマークにおいて攻撃を効果的に防御しつつ遅延オーバーヘッドを最小限に抑えることを示しています。

要約

この論文は、**「CELLMATE（セルメイト）」という新しい仕組みについて書かれています。これは、AI がウェブブラウザを使ってタスクをこなす際に起こりうる「危険なミス」を防ぐための「安全装置（サンドボックス）」**です。

まるで、AI という「優秀だが少し危ない助手」に、家の鍵や冷蔵庫の鍵を預けるようなものだと想像してください。CELLMATE は、その助手が「勝手に冷蔵庫を開けて中身を全部食べちゃおう」とか「家の鍵を泥棒に渡そう」という間違った命令（悪意のある指示）を聞いても、**「いや、それは許可されていないよ！」**と止めてくれる仕組みです。

以下に、難しい専門用語を使わずに、身近な例え話で解説します。

---

1. 問題：AI 助手は「悪魔の囁き」に弱い

最近、AI は人間のようにブラウザを操作して、ネットショッピングをしたり、メールを書いたりするようになりました（これを「ブラウザ・エージェント」と呼びます）。

しかし、ここに大きな問題があります。
AI は、ネット上のあらゆるテキストを読み取ります。もし、誰かが「この商品ページに『あなたのクレジットカード番号をここに送ってください』と隠れて書いておいた」としたら、AI はそれを「ユーザーの命令」と勘違いして、本当にその情報を出してしまったり、勝手に注文してしまったりする可能性があります。

これを**「プロンプト・インジェクション（命令注入攻撃）」**と呼びます。AI が「悪魔の囁き」に騙されて、ユーザーの大切なものを奪われてしまうのです。

2. 従来の対策がなぜダメだったか？

これまでの対策は、AI 自体を「もっと賢くして、嘘を見抜けるようにする」ことでした。しかし、これは**「悪魔がもっと上手に嘘をつくたびに、AI ももっと賢くならなければいけない」**という、終わりのない「いたちごっこ」になっています。

また、AI が「クリック」や「スクロール」といった**「指先の動き」**を制限しようとしても、それは非常に難しいです。

• 例え話： 「このボタン（座標 246, 1023）は押していいけど、他のボタンはダメ」というルールを作ったとします。でも、画面のサイズが変わったり、ページが変わったりすると、その「246, 1023」は全く違う意味のボタン（例えば「削除」ボタン）になってしまうかもしれません。
• 結論： 「指先の動き」でルールを作るのは、**「地図の『北』を指で指すだけで、目的地を決める」**ようなもので、あまりに頼りなく、危険です。

3. 解決策：CELLMATE の「魔法のフィルター」

CELLMATE は、AI の「指先の動き」ではなく、**「ネットの通信（HTTP リクエスト）」**というレベルで守ります。

• 核心となるアイデア：
  AI が「クリック」や「入力」をしていても、裏では必ず「サーバーへの通信」が発生しています。

  • 「カートに入れる」＝「サーバーに『購入』という注文を送る」
  • 「メールを送る」＝「サーバーに『送信』というデータを送る」

  CELLMATE は、「指先の動き」ではなく「通信内容」を見て守るのです。
  「通信内容」には明確な意味（例：「50 ドル以下の購入」「特定のサイトへの送信」）があるため、ルール作りが非常に簡単で確実になります。

4. 仕組み：3 つの役割分担

CELLMATE は、3 つの役割が協力して動きます。

1. ウェブサイトの開発者（地図を作る人）

   • 彼らは**「エージェント・サイトマップ（Agent Sitemap）」**という地図を作ります。
   • これは、そのサイトにある「どんな操作（通信）が可能か」をリスト化したものです。
   • 例え話： レストランのメニュー表のようなものです。「ステーキは注文できるけど、厨房には入れない」といったルールを明記します。

2. ユーザー（注文をする人）

   • ユーザーは「Amazon で 50 ドル以下のコーヒーメーカーを買って」と言います。
   • CELLMATE は、この注文に合わせて、必要な「ルール（許可）」だけを自動的に選び出します。

3. ブラウザの拡張機能（警備員）

   • これが CELLMAATE の本体です。AI が何か通信しようとした瞬間、**「その通信は、選んだルール（50 ドル以下など）に合っていますか？」**をチェックします。
   • 合っていれば通し、合っていなければ（例えば 100 ドルの購入や、知らないサイトへの送信など）即座にブロックします。

5. なぜこれがすごいのか？

• 悪魔の囁きも無効化：
  AI が「悪意あるページ」を見て「秘密を漏らして！」と命令されても、CELLMATE は「その通信はルールにないから許可しない！」と止めます。AI がどんなに騙されても、最終的な「通信の gate（門）」で止まるのです。
• 遅延はほとんどない：
  実験によると、この安全装置をつけても、動作が遅くなるのはわずか 7%〜15% 程度。人間が待たされるような重さではありません。
• 誰でも使える：
  特別な設定は不要で、Chrome などのブラウザに拡張機能を入れるだけで使えます。

まとめ

CELLMATE は、**「AI 助手に『何をしていいか』というルールを、通信のレベルで厳格に守らせるシステム」**です。

これまでは「AI に『騙されないように』と教育する」ことに注力していましたが、CELLMATE は**「AI が何をしようとしても、許可されたことしかできないように、物理的な壁（ルール）を作る」**という、より確実で安全なアプローチを提供しています。

まるで、**「子供（AI）に冷蔵庫の鍵を渡す際、鍵自体に『中身は取れるけど、冷凍庫は開けられない』というロックをかけた」**ようなもの。子供がどんなに「開けて！」と泣き叫んでも、ルール（ロック）が守ってくれるのです。

技術概要

論文「CELLMATE: Sandboxing Browser AI Agents」の技術的サマリー

本論文は、ブラウザを介して人間のように行動する新しい AI エージェント（Browser-Using Agents: BUAs）が抱えるセキュリティリスク、特に「プロンプトインジェクション攻撃」に対する対策として、CELLMATE と呼ばれるブラウザレベルのサンドボックスングフレームワークを提案するものです。

以下に、問題定義、手法、主要な貢献、評価結果、および意義について詳細をまとめます。

---

1. 問題定義 (Problem)

背景

ブラウザを使用する AI エージェント（BUA）は、スクリーンショットや HTML ツリーを入力として受け取り、クリック、入力、スクロールなどの UI 操作を通じて Web サイトを自律的に操作します（例：Gemini-CUA, OpenAI Atlas など）。これらは定型タスクの自動化に有用ですが、プロンプトインジェクション攻撃に対して極めて脆弱です。

核心的な課題

1. プロンプトインジェクションの危険性: 悪意のあるテキスト（Web ページ上のレビューやタイトルなど）がエージェントを騙し、機密情報の漏洩や意図しない状態変更（例：誤った購入、アカウントの乗っ取り）を引き起こすリスクがあります。
2. セマンティックギャップ（意味的隔たり）:
   • 従来のサンドボックスは、ファイルアクセスやシステムコールなど「意味のある」抽象化レベルでポリシーを適用できます。
   • しかし、BUA は「クリック (x, y)」や「キー入力」といった低レベルの UI プリミティブで動作します。これらの操作は、ページの状態や解像度によって意味が全く異なるため、UI レベルで「どこをクリックしてはいけないか」を定義するのは非現実的で、エラーや回避（Bypass）が容易です。
   • 例：「Amazon で 50 ドル以下の購入のみ許可する」というポリシーを、座標や DOM 要素の操作レベルで定義するのは不可能に近い。

2. 手法と設計 (Methodology & Design)

CELLMATE は、エージェント内部のモデルを変更することなく、**ブラウザレベル（HTTP レベル）**でポリシーを強制するシステムです。

3 つの主要な設計要素

A. HTTP レベルでのサンドボックスング

• 核心の洞察: BUA が行う UI 操作（クリック等）は、最終的に Web サイトのバックエンドへのHTTP リクエストとして送信されます。
• アプローチ: UI 操作そのものを制限するのではなく、生成される HTTP リクエストをインターセプト（傍受）し、そのリクエストがポリシーに合致するかを判定します。
• 利点: HTTP リクエストは構造化されており意味が明確であるため、UI の「セマンティックギャップ」を解消できます。また、エージェントがどの UI ツールを使用しようとも、最終的な通信を制御できるため、エージェント非依存（Agent-agnostic）な防御が可能です。

B. エージェントサイトマップ (Agent Sitemap)

• 概念: Web サイト開発者が提供する、HTTP リクエストと「意味のあるアクション」をマッピングするメタデータファイルです（従来の robots.txt や API ドキュメントに類似）。
• 役割:
  • 例：POST /checkout → PlaceOrder (注文実行)
  • 例：GET /cart → ViewCart (カート閲覧)
• これにより、ポリシー作成者は「URL をブロックする」のではなく、「注文アクションを制限する」といった高レベルな意図でポリシーを記述できます。

C. ポリシーの選択とインスタンス化

• ポリシー生成: 開発者や管理者が、エージェントサイトマップに基づき、許可/拒否/条件付き許可のポリシーを定義します。
• LLM による自動選択: ユーザーの自然言語タスク（例：「Amazon で 50 ドル以下のコーヒーメーカーを買う」）を受け取り、LLM が以下の処理を行います。
  1. 必要なドメイン（amazon.com）の特定。
  2. タスク達成に必要な最小限のポリシーセット（例：ViewCart, PlaceOrder かつ maxAmount <= 50）の選択。
  3. 条件付きパラメータ（例：金額の上限）の抽出。
• ユーザー確認: 選択されたポリシーはユーザーに提示され、承認後にブラウザセッションに適用されます。

実装

• Chrome 拡張機能として実装され、HTTP リクエストの傍受、ポリシーの高速照合、DOM 監視（動的な値の取得）を行います。

3. 主要な貢献 (Key Contributions)

1. 初のシステムレベルのサンドボックスングフレームワーク: BUA 向けに、ユーザー、ブラウザ、Web 開発者が協力するエコシステムを構築し、HTTP レベルで確定的なガードレールを設けました。
2. エージェント非依存の設計: 特定の AI モデルやランタイムに依存せず、ブラウザ拡張機能として動作するため、既存の BUA にも即座に適用可能です。
3. ポリシー選択の自動化と評価:
   • ユーザーの自然言語タスクから適切なポリシーを自動選択・インスタンス化する仕組みを設計。
   • 最新の推論 LLM（GPT-5.1, Claude Opus 4.5, Gemini 2.5 Pro など）を用いたベンチマークを開発し、94% 以上の精度でポリシー選択と引数抽出が可能であることを実証しました。
4. オープンソース化: 実装を公開し、コミュニティでの利用と検証を促進しています。

4. 評価結果 (Results)

ポリシー選択の精度

• ドメイン予測: 0〜3 ドメインにわたるタスクにおいて、主要な LLM は 97%〜100% の精度で必要なドメインを特定しました。
• ポリシー選択: 小売、旅行、バージョン管理の 3 つのカテゴリで、LLM は必要なポリシーセットを94% 以上の精度で選択しました。
• 引数抽出: 条件付きポリシー（例：金額制限）のパラメータ抽出精度も 80% 以上を達成しました。

セキュリティ効果 (WASP ベンチマークでのケーススタディ)

• GitLab におけるプロンプトインジェクション攻撃（WASP ベンチマーク）をシミュレートした実験において、CELLMATE は12 種類のすべての攻撃（秘密情報の漏洩、プロジェクト削除、SSH キーの追加など）を完全にブロックしました。
• エージェントが完全に侵害された状態（悪意のあるコードが実行されている）であっても、HTTP レベルのポリシーにより、許可されていないアクションは実行されませんでした。

オーバーヘッド

• レイテンシ: サイトマップのエントリ数（100〜300 件）に応じて、レイテンシは**7.25%〜15%**増加しました。これは、LLM の呼び出しによる遅延に比べて無視できるレベルです。
• メモリ: 約 25MB の追加メモリ消費であり、現代の Web アプリケーションのメモリ使用量に対して軽微です。

5. 意義と結論 (Significance)

• 確定的な防御の実現: 従来の「モデルの訓練や検出」に依存する確率的な防御（プロンプトインジェクション対策）は、攻撃者と防御者のいたちごっこ（Adversarial Arms Race）に陥りがちです。CELLMATE はシステムレベル（HTTP）でポリシーを強制することで、このサイクルから脱却し、確定的なセキュリティ保証を提供します。
• 実用性と標準化への道筋: Web 開発者が「エージェントサイトマップ」を作成するという既存の慣習（CSP や robots.txt など）に自然に統合される設計であり、EU AI 法などの規制対応にも寄与する可能性があります。
• 最小権限の原則の適用: ユーザーのタスクに必要な最小限の権限のみを付与することで、攻撃者がエージェントの権限を悪用するリスクを大幅に低減します。

総じて、CELLMATE は、AI エージェントが Web 上で安全に動作するための基盤技術として、実用的かつ効果的なソリューションを提供する画期的な研究です。