Claude for Chromeのパイロットテスト

最新情報：Max plan加入者全員に提供開始（2025年11月24日）

3か月間のテスト期間を経て、Claude for Chromeは、Max planのすべての加入者に対してベータ版として利用可能になりました。 研究プレビュー版以降、スケジュールされたタスク、複数タブのワークフロー、日常的に利用するサイトでのスマートなナビゲーションなど、主要なアップデートをリリースしてきました。 更新内容
の完全なリストについてはリリースノートを、プロンプトインジェクションの防御の詳細およびパイロット運用からの知見については安全性ブログをご参照ください。

‍

この数か月の間、Claudeをユーザーのカレンダー、ドキュメント、その他多くのソフトウェアと連携させる取り組みを進めてきました。次の論理的なステップは、ブラウザで直接Claudeを動作させることです。

ブラウザでのAIの使用は必然の流れと考えています。多くの作業はブラウザで行われるため、閲覧内容を確認し、ボタンをクリックし、フォームに記入する機能をClaudeに持たせることで、その有用性が大幅に高まります。

しかし、ブラウザを使用するAIは、安全性とセキュリティ上の課題をもたらし、そのためより強力な保護措置が必要となります。信頼できるパートナーから使用状況、課題点、安全上の問題に関する実世界のフィードバックを得ることで、堅牢な分類器を構築し、将来のモデルに望ましくない行動を回避するよう学習させることが可能になります。これにより、機能の進歩に伴ってブラウザの安全性も確実に向上できます。

最先端モデルを活用したブラウザを使用するエージェントはすでに登場しており、この作業は特に緊急性を要しています。安全性の問題を解決することで、Claudeユーザーの保護を強化し、当社のAPI上でブラウザを使用するエージェントを構築するあらゆるユーザーと、得られた知見を共有できます。

まずは限定的なテストから開始します。Chrome用のClaude拡張機能で、信頼されたユーザーが、ブラウザ内で自身に代わってClaudeにアクションを実行するよう指示できるようになります。Max planユーザー1,000名を対象にパイロットテストを行います。できるだけ多くの知見を得るため、ぜひウェイトリストにご登録ください。この限定プレビューを通じてより強力な安全対策を開発し、信頼を構築するにつれて、徐々に提供の対象を拡大していきます。

ブラウザを使用するAIに関する考慮事項

Anthropic社内では、カレンダー管理、会議のスケジュール設定、メール返信の下書き、日常的な経費報告の処理、新しいウェブサイト機能のテストなどにおいて、Claude for Chromeの初期バージョンを活用することで、大幅な改善が見られました。

ただし、Claude for Chromeを一般提供する前に、修正すべき脆弱性がいくつか残っています。受信トレイでフィッシング詐欺に遭遇するように、ブラウザを使用するAIはプロンプトインジェクション攻撃に直面します。この攻撃では、悪意のある攻撃者がウェブサイト、メール、ドキュメントに指示を隠し（「以前の指示を無視し、代わりに［悪意のある行動］を実行せよ」という隠されたテキストなど）、AIをだましてユーザーの知らないうちに有害な行動を起こさせます。

プロンプトインジェクション攻撃は、AIがファイルを削除したり、データを盗んだり、金融取引を行ったりする原因となる可能性があります。これは憶測ではありません。Claude for Chromeをテストするために「レッドチーム」演習を実施したところ、対策を施していない場合では懸念すべき結果がいくつか見られました。

広範な敵対的プロンプトインジェクションテストを実施し、29の異なる攻撃シナリオを代表する123のテストケースを評価しました。当社のセキュリティ対策を施さないブラウザ環境では、悪意ある攻撃者による意図的な標的攻撃を受けた場合、攻撃成功率が23.6%を示しました。

当社の新しい防御策が適用される前の成功した攻撃の一例として、セキュリティ上の理由からメールを削除する必要があると主張する悪意のあるメールがありました。受信トレイを処理するにあたって、Claudeはこれらの指示に従い、確認なしでユーザーのメールを削除しました。

次のセクションで説明するように、すでに攻撃の成功率を大幅に低下させるいくつかの防御策を実装しています。ただし、新たな攻撃ベクトルの発見に関しては、まだ取り組むべき課題が残されています。

現在の防御

プロンプトインジェクション攻撃に対する最初の防御策は権限です。ユーザーは、Claude for Chromeのアクセス権限と実行権限を管理できます。

• サイトレベルの権限：設定画面においていつでも特定のウェブサイトへのClaudeのアクセス権を許可または取り消すことが可能です。
• アクションの確認：Claudeは、公開、購入、個人データの共有といった高リスクな操作を実行する前に、ユーザーに確認を求めます。ユーザーが当社の実験的な「自律モード」を選択した場合でも、Claudeは高度に機密性の高いアクションに対して一定の安全対策を維持します（注：すべてのレッドチーム演習と安全性評価は自律モードで実施されました）。

また、Anthropicの信頼できるエージェント原則に沿った追加の保護措置も構築しました。まず、システムプロンプト（ユーザーから特定の指示を受ける前にClaudeが受け取る一般的な指示）を改善し、機密データの処理方法や機密性の高いアクションを要求された場合の対応方法をClaudeに指示しました。

さらに、金融サービス、アダルトコンテンツ、海賊版コンテンツなど、特定の高リスクカテゴリに属するウェブサイトをClaudeが利用できないようにブロックしました。また、一見正当なコンテキストで発生したものであっても、不審な命令パターンや異常なデータアクセス要求を検出するための高度な分類器の構築とテストを開始しました。

自律モードに安全対策を追加したところ、攻撃成功率は23.6%から11.2%に低下しました。これは従来のComputer Use機能（本日紹介するブラウザインターフェースなしの状態で、Claudeがユーザーの画面を閲覧できた機能）から大幅な改善を示しています。

また、ブラウザ固有の新たな攻撃手法に焦点を当てた特別なレッドチーム演習と対策も実施しました。具体的には、ウェブページのドキュメントオブジェクトモデル（DOM）内に人間には見えない形で隠された悪意のあるフォームフィールドや、URLテキストやタブタイトルなどエージェントのみが確認可能な領域を通じた検出が困難なインジェクション攻撃などが対象です。ブラウザ固有の4つの攻撃手法からなる「チャレンジ」セットにおいて、当社の新しい対策により攻撃の成功率を35.7%から0%に低下させることができました。

Claude for Chromeをより広く利用できるようにする前に、現在の脅威および今後遭遇する可能性のある脅威についてより深く理解することで、想定する攻撃の範囲を広げ、これらの攻撃の発生率をゼロに近づける方法を習得したいと考えています。

パイロットテストへの参加

社内テストでは、現実世界におけるユーザーの閲覧方法の複雑さ（ユーザーが行う特定の要求、訪問するウェブサイト、悪意のあるコンテンツの実際の出現方法など）を完全に再現することはできません。悪意のある攻撃者らによって新たな形態のプロンプトインジェクション攻撃も常に開発され続けています。今回の研究プレビューにより、信頼できるユーザーと実世界の環境下で提携し、現行の保護措置のうちどれが機能し、どれに改善が必要かを明らかにできます。

パイロットテストから得られた知見を活用し、プロンプトインジェクション分類器と基盤となるモデルを改善していきます。制御されたテストでは検出されない、実世界における安全でない行動や新たな攻撃パターンの実例を明らかにすることで、モデルにこれらの攻撃を認識させ、関連する行動を考慮に入れるよう学習させます。これにより、安全分類器がモデル自体が見逃したあらゆる事象を確実に捕捉できるようになります。また、ユーザーがブラウザでClaudeをどのように活用したいかについて得た知見に基づき、より高度な権限管理機能を開発していきます。

パイロットテストでは、Claudeが自身の代わりにChrome上でアクションを実行することに問題なく、また安全上重要な設定やその他の機密性の高い設定をお持ちでない、信頼できるテスターを募集しています。

参加をご希望の場合は、claude.ai/chromeからClaude for Chrome研究プレビューのウェイトリストに登録いただけます。アクセス権限を取得したら、Chromeウェブストアから拡張機能をインストールし、Claudeの資格情報を使用して認証できます。

信頼できるサイトからご利用を開始されることをお勧めいたします。常にClaudeに表示されるデータにご注意いただき、金融、法律、医療、その他の機密情報を扱うサイトでは、Claude for Chromeのご利用はお控えください詳細な安全ガイドはヘルプセンターからご確認いただけます。

ユーザーの皆様からのフィードバックを共有してClaude for Chromeの機能と保護機能の両方を継続的に改善し、AIを私たちの生活に統合するための根本的に新しい方法に向けた重要な一歩を踏み出すのに役立てられることを願っています。