プロンプトインジェクションが、OWASP(Open Web Application Security Project)の2025年版LLMアプリケーションセキュリティリスクトップ10で1位にランクインしました。この脆弱性は攻撃者がLLMへの入力を操作し、元の指示を上書きしたり、機密情報を抽出したり、意図しない動作を引き起こすことを可能にするもので、エージェントAIの普及とともに深刻さを増しています。
Anthropicが2026年2月に公開したClaude Opus 4.6のシステムカードによると、拡張思考機能を持つGUI型エージェントに対するプロンプトインジェクション攻撃は、1回の試行で17.8%の成功率を記録しました。この数字は200回の試行では78.6%(セーフガードなし)、セーフガードありでも57.1%まで上昇します。一方、ブラウザエージェントへの攻撃は、Opus 4.5と新しいセーフガードの組み合わせで約1%まで抑制されています。
X上では「プロンプトインジェクションは機能であり、バグではない」という構造的問題を指摘する声が上がっており、LLMの設計上、完全な防御は困難との見方が広がっています。Redditのr/netsecでは多層防御の必要性が議論され、単一の解決策は存在しないとの見解が示されています。Hacker Newsでは、OpenAIがブラウザエージェントでのプロンプトインジェクション問題を「修正不可能」と認めたとの報道が話題を呼んでいます。
この状況を受け、Microsoftは3月12日に「AIツールにおけるプロンプト悪用の検知と分析」と題したセキュリティガイドを公開しました。Microsoft Detection and Response Team(DART)が執筆したこのガイドでは、隠された指示がAIシステムの出力をいかに操作するかのシナリオを示し、疑わしいプロンプトの特定方法と構造化された対応手順の開発を解説しています。エージェントAIが企業システムに浸透する中、セキュリティチームには新たな監視・対応能力が求められています。
| - [LLM01:2025 Prompt Injection | OWASP Gen AI Security Project](https://genai.owasp.org/llmrisk/llm01-prompt-injection/) |
|---|---|
| - [OWASP Top 10 for LLMs 2025 | OWASP Foundation](https://owasp.org/www-project-top-10-for-large-language-model-applications/) |
| - [Enterprises are racing to secure agentic AI deployments | Help Net Security](https://www.helpnetsecurity.com/2026/02/23/ai-agent-security-risks-enterprise/) |