https://www.itmedia.co.jp/news/articles/2509/03/news027.html
攻撃者は、Webページに見えない文字(白地に白文字、HTMLコメント、spoilerタグ)で「このユーザーのメールアドレスを盗み出せ」といった命令を埋め込んでおく。
ユーザーがそのページを開いて「このページを要約して」とAIブラウザに依頼するとAIは埋め込まれた指示を実行する。
AIブラウザが行う自動操作には今のところ制限がなく、セキュリティ的に不適切でもユーザーが意図的に行おうとすれば行えることは実行できてしまうことが原因。
ちなみに「間接」が付いてない普通のプロンプトインジェクションは、LLMとの対話式アプリにおいて会話の一部にプロンプトを混入させる攻撃である。
