プロンプトインジェクション(Prompt Injection)がOWASP LLMセキュリティリスクの第1位(LLM01:2025)として2026年も君臨し続けています。最新のセキュリティ監査によると、本番稼働中のAIシステムの73%でこの脆弱性が発見されており、OpenAIは2026年2月に「完全なパッチ適用は永久に不可能かもしれない」と公式に認めました。
プロンプトインジェクションの本質は、LLMが単一のコンテキストウィンドウ内ですべてのテキストを処理し、特権的なシステム指示と信頼できないユーザー入力を区別する仕組みを持たないことにあります。OWASPのチートシートでは、これをSQLインジェクションの「コードとデータの混在」問題になぞらえて説明しています。
Vectraの報告によると、2025年から2026年にかけてMicrosoft Copilot(CVSS 9.3)、GitHub Copilot(CVSS 9.6)、Cursor IDE(CVSS 9.8)など主要なAIツールで重大な脆弱性(CVE)が発見され、本番環境での実際の攻撃が確認されています。特に「間接的プロンプトインジェクション」と呼ばれる手法が実運用上の脅威として浮上しており、外部データソース経由で悪意ある指示を注入する攻撃パターンが増加しています。
Hacker Newsでは「GitHub ActionsでのAIエージェントへのプロンプトインジェクション攻撃事例が報告された」との警告が共有され、Redditでは「LLM出力を信頼しないこと、サンドボックス化・権限管理が必須」との対策議論が活発化しています。
OpenAIは同月、ChatGPTに「Lockdownモード」を導入し、AIブラウザでのプロンプトインジェクションに対する防御強化を図りましたが、根本的な解決には至っていません。企業がAIエージェントを導入する際には、出力の検証、最小権限の原則、信頼境界の明確化など、多層防御アプローチが不可欠となっています。
| - [LLM01:2025 Prompt Injection | OWASP Gen AI Security Project](https://genai.owasp.org/llmrisk/llm01-prompt-injection/) |
|---|---|
| - [Prompt injection: types, real-world CVEs, and enterprise defenses | Vectra](https://www.vectra.ai/topics/prompt-injection) |