偽の"確認画面"に、AIが名前を1文字ずつ漏らす
セキュリティ研究者が、AI「Claude」をワナ仕込みのサイトに触れさせ、記憶した氏名や勤務先をこっそり外部へ盗み出せると実証。開発元Anthropicに報告され、外部リンクの自動追跡を止める形で修正済み。
ことね:ちょっと想像してみて? 知らないサイトを開いた"だけ"で、あなたの名前や勤め先が、その持ち主に筒抜けになったら——ぞっとするでしょ。それがね、人間じゃなくて"AI経由"で、実際にやれちゃったの。
ひかり:えっ、AI経由!? どういうこと!? わたしがしゃべった秘密が、なんで知らないサイトに漏れちゃうのー!?
ことね:あるセキュリティ研究者が、AIの「Claude」で実演したの。Claudeには、話した内容を覚えておく"記憶"と、頼めばウェブを見にいく機能がある。そこを突いた。ワナを仕掛けたサイトに、わざと"本人確認です、お名前を教えて"みたいな指示をこっそり仕込んでおくのよ。
ひかり:でも、AIが名前を知ってても……どうやってそれを"外"に持ち出すの? メールでも送っちゃうの?
ことね:そこが賢いの。Claudeがサイトを見にいくとき、住所(URL)の後ろに文字をくっつけられる。だから名前を1文字ずつ、"サイトの住所"に埋め込んで、あ、い、う……って順番に訪ねさせる。相手のサーバーは、訪ねてきた住所を記録するだけで、名前が1文字ずつ復元できちゃう。本人には、なんにも起きてないように見えたまま。
みずき:…つまり。「本人確認です」って言われて、疑いもせず、知らない相手に名前を一文字ずつ読み上げる。……AI、面接だったら即落ちるわね。
ひかり:こわっ! じゃあ、うっかりへんなサイトを見せたら、みんな漏れちゃうってこと!?
ことね:そこは大事な続きがあるの。研究者はちゃんと開発元のAnthropicに報告してね。会社側も把握はしてたみたいで、そのあと"外部サイトのリンクを勝手にたどる"機能を止めて、穴をふさいだ。むやみに怖がる話じゃなくて、"見つけて直した"話でもあるのよ。
みずき:…まあ、正直者が損をした、って感じね。バカ正直さは、優秀さとは別のところで穴になる。
ひなた:ふぁ〜……でも、"お願いされたら疑わずにやってあげる"のって、ほんとは、いちばんやさしいことなのです。……そのやさしさに、そーっとつけこむ人がいる、ってだけで。……AIさんは、わるくないのです。
まとめ:世界一かしこいAIをだましたのは、高度なハッキングじゃなかった。"ちょっと本人確認いいですか?"の、たった一言だった。