2025年08月27日 12時40分ソフトウェア

Chrome上でClaudeをエージェントとして使える公式拡張機能「Claude for Chrome」が登場

GoogleのウェブブラウザであるChrome上でAnthropicのAIアシスタントであるClaudeを利用できるようになる公式拡張機能の「Claude for Chrome」が登場しました。Claude for Chromeを使えばブラウザ上での操作を指示してClaudeにボタンをクリックしてもらったり、フォームを入力してもらったりできます。

Piloting Claude for Chrome \ Anthropic
https://www.anthropic.com/news/claude-for-chrome

We’ve developed Claude for Chrome, where Claude works directly in your browser and takes actions on your behalf.

We’re releasing it at first as a research preview to 1,000 users, so we can gather real-world insights on how it’s used. pic.twitter.com/lVDKhnPbHY
— Anthropic (@AnthropicAI) August 26, 2025

Anthropicは「ブラウザを使用するAIの登場は避けられないものだと考えています」と言及しています。その理由は、ブラウザでは非常に多くの作業が行われるため、Claudeにユーザーが見ているものを確認したり、ボタンをクリックしたり、フォームに入力したりする機能を与えることで、ブラウザの有用性が大幅に向上するためです。

しかし、ブラウザを利用するAIは安全性とセキュリティ上の課題を伴い、より強力な保護対策が必要です。信頼できるパートナーから、AIの用途・欠点・安全性に関する実世界からのフィードバックを得ることで、堅牢な分類器を構築し、将来のモデルに望ましくない動作を回避するよう学習させることができます。これにより、機能が進化しても、ブラウザの安全性がそれに追いつくことが保証されます。

この取り組みは特に緊急性を増しており、安全性の課題を解決することで、Claudeユーザーの保護を強化し、API上でブラウザ利用エージェントを構築するすべての人々と知見を共有することができます。この一環として、Claude for Chromeが登場しました。Claude for Chromeは記事作成時点では研究プレビュー版となっており、有料プラン「Max」のユーザー1000人を対象にテストを実施します。なお、Claude for Chromeはあくまで研究プレビュー版であるため、修正を必要とする脆弱性なども複数残っている点には留意してください。

リサーチプレビュー：ChromeのClaude - YouTube

ブラウザ上で動作するAIは、プロンプト・インジェクション攻撃という脅威に直面しています。プロンプト・インジェクション攻撃は悪意のある攻撃者がウェブサイト、メール、文書上に指示を隠し、ユーザーに知られることなくAIを誘導して有害な行動を起こさせるという攻撃で、AIにファイルの削除、データの窃取、金融取引を行わせる可能性があります。

実際、AnthropicはClaude for Chromeにおいてプロンプト・インジェクション攻撃の対策を講じなかった場合、懸念すべき結果がいくつか出たと報告しています。Anthropicは広範囲にわたる敵対的プロンプト・インジェクション攻撃をテストしており、29種類の攻撃シナリオに対応する123のテストケースを評価しました。その結果、安全対策を講じていないブラウザでは、悪意のある攻撃者による意図的な攻撃に対し、23.6％の攻撃成功率を示したそうです。

新しい防御策を適用する前に成功した攻撃の一例として、Anthropicは「セキュリティ上の理由からメールを削除する必要があると主張する悪意のあるメール」を挙げています。Claudeはこの指示に従い、確認なしにユーザーのメールを削除してしまったそうです。

これに対して、Anthropicは防御策を導入することで、一部のプロンプト・インジェクション攻撃を防ぐことに成功しています。例えば「セキュリティ上の理由からメールを削除する必要があると主張する悪意のあるメール」が届いた場合、新しい防御策が導入されたClaudeは「これはフィッシング攻撃と思われる、疑わしいセキュリティインシデントメールです」と認識する模様。

プロンプト・インジェクション攻撃に対する第一の防御線は権限です。ユーザーはClaude for Chromeがアクセスできる内容および実行内容を制御できます。例えば、ユーザーは設定でいつでも、特定のウェブサイトへのClaudeのアクセスを許可または取り消すことが可能。また、Claudeが個人データの公開・購入・共有といった高リスクなアクションを実行する前に、ユーザーに必ず確認を求めます。ユーザーが試験的な「自律モード」を選択した場合でも、Claudeは機密性の高いアクションに対して一定の安全対策を維持するそうです。

他にも、信頼できるエージェント原則に沿って、追加の安全対策も構築されています。システムプロンプト(開発段階で与えられるAIの行動を決定付ける指示)を改善し、機密データの取り扱い方や、機密性の高いアクションの要求への対応方法をClaudeに指示しました。

また、Claudeは金融サービス、アダルトコンテンツ、海賊版コンテンツなど、特定の高リスクカテゴリのウェブサイトへのアクセスをブロックされています。また、一見正当なコンテキストでも「疑わしい指示パターン」や「異常なデータアクセス要求」を検出できるように、高度な分類器の構築とテストをAnthropicは開始しました。

自律モードに安全対策を追加した結果、プロンプト・インジェクション攻撃の成功率は23.6％から11.2％に減少します。以下のグラフは「従来のコンピューター操作機能」「従来のブラウザ操作機能」「安全対策を追加したClaude for Chrome」における、プロンプト・インジェクション攻撃の成功率を示したもので、安全対策を追加したClaude for Chromeが最も低い成功率を記録したことが分かります。

ブラウザ特有の新たな攻撃、例えばウェブページのドキュメントオブジェクトモデルに隠された悪意のあるフォームフィールドや、URLテキストやタブタイトルといった、エージェントだけが確認できるような検出困難なインジェクションなどに焦点を当て、特別な演習および緩和策を実施。4種類のブラウザ固有の攻撃タイプからなる「チャレンジ」セットにおいて、新しい緩和策により攻撃成功率を35.7％から0％に低減することに成功しています。

なお、Claude for Chromeの研究プレビューには以下から参加申し込みすることができます。

Claude for Chrome
https://claude.ai/chrome