プロンプトインジェクションが、OWASP(Open Web Application Security Project)のLLMアプリケーション脆弱性リストで2026年も第1位(LLM01)を維持していることが明らかになりました。最新のセキュリティ監査によると、本番稼働中のAIデプロイメントの73%でこの脆弱性が確認されており、システム構成と試行回数によっては攻撃成功率が50〜84%に達するとされています。
この問題の根本は、LLMがシステムプロンプトとユーザー入力を同一チャネルで処理するアーキテクチャにあります。指示とデータの間に構造的な分離がなく、すべてがシーケンス内のトークンとして扱われるため、実装上の不備ではなく根本的なアーキテクチャの脆弱性とされています。
攻撃は主に2種類に分類されます。直接的プロンプトインジェクションは、攻撃者がユーザー入力インターフェースを通じてシステムプロンプトを上書きする悪意のある指示を明示的に作成するものです。より危険なのは間接的プロンプトインジェクションで、攻撃者がLLMが後で読み込むコンテンツ(メール、文書、Webページ、データベースレコード)に悪意のある指示を埋め込みます。ユーザー自身は悪意のある入力を送信しておらず、AIが取得・処理する外部データに埋め込まれています。
実際の被害も深刻です。2025〜2026年にかけて、Microsoft Copilot(CVSS 9.3)、GitHub Copilot(CVSS 9.6)、Cursor IDE(CVSS 9.8)で重大なCVEが報告され、本番環境での積極的な悪用が確認されています。Redditでは、自然言語の微妙な言い回しの違いを悪用するため検出が困難である点が議論されています。
こうした状況を受け、Arcjet社がインラインでのプロンプトインジェクション防御ソリューションを発表し、Hacker Newsでこのアプローチが注目を集めています。しかし根本的な解決には、LLMアーキテクチャそのものの見直しが必要との見方もあり、セキュリティコミュニティでは長期的な対策の議論が続いています。
| - [LLM01:2025 Prompt Injection | OWASP Gen AI Security Project](https://genai.owasp.org/llmrisk/llm01-prompt-injection/) |
|---|---|
| - [LLM Prompt Injection Prevention | OWASP Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/LLM_Prompt_Injection_Prevention_Cheat_Sheet.html) |