OWASP(Open Worldwide Application Security Project)のLLMセキュリティプロジェクトが2026年3月に公開した報告書によると、プロンプトインジェクション攻撃が前年比340%増加し、データ汚染やモデル盗用を抑えてLLM脆弱性の中で最高深刻度に分類されました。特に深刻なのが「間接プロンプトインジェクション」と呼ばれる手法で、メール本文やドキュメント、Webページに悪意のある命令を埋め込み、AIエージェントが処理した際に意図せず実行させるというものです。企業AIエージェント関連の侵害1件あたりの平均被害額は463万ドルに達するとされており、現実的なビジネスリスクとして浮上しています。
プロンプトインジェクションは1990年代から存在するSQLインジェクションと構造的に類似しており、入力データと制御命令の境界が曖昧なことが根本的な問題です。特にAIエージェントがメール処理・Web検索・ドキュメント解析などを自律的に行う場合、外部から取り込んだコンテンツに含まれる命令を信頼できる指示として実行してしまう危険があります。CrowdStrikeによると同社は30万件以上の敵対的プロンプトを分析・分類しており、攻撃パターンの体系化が進んでいます。一方、OWASPのレポートでは「ゼロクリックエージェント脆弱性」、すなわちユーザーが何も操作しなくても機密データが外部に流出するシナリオが具体的に報告されています。CopilotやGemini Enterpriseのような企業向け製品でも実環境での漏洩シナリオが実証されており、セキュリティ研究者たちの間で警戒感が一気に高まっています。
X(旧Twitter)では実際のデモ動画が複数の研究者によって共有され、「ゼロクリックエージェント脆弱性」が拡散して広く注目を集めました。r/netsecでは「SQLインジェクションと同じ構造問題であり、アーキテクチャレベルの根本解決なしには完全な防止は困難」という分析が多くの賛同を得ています。Hacker Newsでは「企業がAIエージェントを導入する際にセキュリティを後付けで考えているのが問題だ」という批判が目立ちました。
AIエージェントの業務活用が加速する中、セキュリティ設計を「後から追加するもの」ではなく「アーキテクチャの根幹」として組み込む必要性がますます高まっています。OWASPが分類体系を整備したことで、エンジニアや経営陣が共通言語でリスクを議論しやすくなるという意義もあります。AIを活用した業務改革を進める企業にとって、プロンプトインジェクション対策は今や技術的な課題ではなく経営上の優先事項です。
| - [The Prompt Injection Peril and Why AI Agents Are Your Network's Newest Vulnerability | Security Boulevard](https://securityboulevard.com/2026/03/the-prompt-injection-peril-and-why-ai-agents-are-your-networks-newest-vulnerability/) |
|---|