4月1日、米国のインターネットセキュリティセンター(CIS)が、プロンプトインジェクション攻撃が2026年に前年比340%増加しているとする警告レポートを公開しました。同レポートは、AIがメール・文書・Webサイトに埋め込まれた悪意ある指示を正規のユーザー指示と区別できないという根本的な限界を指摘し、高リスクな処理に対しては引き続き人間の関与(ヒューマン・イン・ザ・ループ)を維持するよう推奨しています。OWASPがLLM(大規模言語モデル)の最高重要度脆弱性の第1位にプロンプトインジェクションを分類したことと合わせ、業界全体に緊張感を与えています。
プロンプトインジェクションとは、AIに対して悪意ある指示を自然言語テキストに埋め込む攻撃手法で、AIが「命令された通りに」悪意ある操作を実行してしまいます。X(旧Twitter)では「AIエージェントが増えるほどプロンプトインジェクションの攻撃対象領域(アタックサーフェス)が指数的に増大する」という警告が多数リツイートされており、特にメールの自動処理や文書要約を行うエージェントシステムへのリスクが強調されています。
Hacker Newsでは「OWASPが最高重要度脆弱性に分類したのは当然」という意見が多い一方で、「構造化された入力検証だけでは根本解決にならない」という技術的議論も展開されました。現状の言語モデルにおいて、コンテキストに含まれる「信頼できる指示」と「悪意ある指示」を完全に区別する方法は確立されておらず、これは入力バリデーションや出力フィルタリングのような従来のセキュリティ対策では対処しきれない問題です。
CISのレポートが推奨する対策のうち、最も実践的なものは「高リスク処理への人間の関与維持」です。例えばメールの自動送信・財務トランザクションの実行・アクセス権の変更といった不可逆的な操作をAIエージェントに単独で行わせないという設計原則が求められます。また、AIが処理するドキュメントやWebページのソースを可能な限り検証すること、AIエージェントの権限を必要最小限に絞るといった多層防御のアプローチが有効とされています。プロンプトインジェクションへの完全な技術的解決策はまだ存在しないだけに、今後しばらくは「AIを信頼しすぎないシステム設計」が最善の防御手段となりそうです。