プロンプトインジェクション、本番AIシステムの73%に存在——OWASP LLM脆弱性で依然1位

プロンプトインジェクションがOWASPのLLMアプリケーション脆弱性ランキングで2026年も1位を維持しています。最新のセキュリティ監査によると、本番環境のAIデプロイメントの73%にこの脆弱性が存在しており、根本的な解決策は依然として見つかっていません。

プロンプトインジェクションとは、悪意のあるプロンプトを通じてLLMの動作を操作し、安全フィルターをバイパスして意図しない命令を実行させる攻撃手法です。根本的な問題は、LLMが信頼できる命令と信頼できないデータを同じチャネルで処理し、両者を確実に区別する方法がないことにあります。Microsoftのセキュリティブログによると、Microsoft Copilotへの間接的プロンプトインジェクションにより、メールに埋め込まれた隠し命令がCopilotに被害者の受信トレイから機密情報を検索させ、攻撃者のサーバーに漏洩させる事例が報告されています。2025年から2026年にかけて、Microsoft Copilot（CVSS 9.3）、GitHub Copilot（CVSS 9.6）、Cursor IDE（CVSS 9.8）で重大なCVEが確認され、本番環境での悪用が実証されています。

Hacker Newsでは「モデルが命令とデータを区別できない根本問題は解決困難」との悲観的な見方もあり、Redditのr/netsecでは企業のAI導入リスクについて活発な議論が展開されています。Model Context Protocol（MCP）やエージェンティックAIワークフローの台頭により、攻撃成功時の影響範囲は劇的に拡大しています。

AIエージェントが業務システムに深く統合される現在、プロンプトインジェクションは単なる理論上のリスクではなく現実の脅威となっています。企業はAI導入と同時にセキュリティ対策を優先事項として検討する必要があります。

関連リンク

- [Detecting and analyzing prompt abuse in AI tools	Microsoft Security Blog](https://www.microsoft.com/en-us/security/blog/2026/03/12/detecting-analyzing-prompt-abuse-in-ai-tools/)

• Prompt Injection in 2026: Still OWASP's Number One LLM Vulnerability

- [Prompt Injection	OWASP Foundation](https://owasp.org/www-community/attacks/PromptInjection)