OWASP(Open Web Application Security Project)のLLMセキュリティプロジェクトが2026年3月に公開したレポートで、プロンプトインジェクションをLLM展開における最高深刻度の脆弱性カテゴリに分類しました。2026年に入り攻撃件数は前年比340%増加しており、米国のサイバーセキュリティ機関CISAも組織向けの警告レポートを発行しています。
プロンプトインジェクション(prompt injection)とは、悪意のある入力文をLLMに送り込み、本来の指示を上書きして意図しない動作を引き起こす攻撃手法です。AIエージェントが外部ウェブページを読み込んだり、メールやドキュメントを処理したりする機能が一般化する中で、攻撃者がコンテンツに埋め込んだ悪意ある指示をエージェントが実行してしまうケースが急増しています。Hacker Newsでは「AIエージェントの実運用が広がるにつれてプロンプトインジェクションの被害が現実化しているとの報告が増えており、根本的な解決策の難しさへの議論が続く」というスレッドが上位に挙がっています。
X上のセキュリティ研究者からは「モデルはデータと命令を区別できない根本問題が未解決」との指摘が多く拡散しており、この言葉は問題の本質を端的についています。LLMは設計上、ユーザーの命令と処理対象のデータを同一のテキストストリームとして受け取るため、命令の優先順位を構造的に保証する仕組みがアーキテクチャレベルで欠けているのです。現在提案されている対策——プロンプトサンドボックス化・権限の最小化・入力の無害化処理——はいずれも完全ではなく、根本的な解決には業界全体での標準策定が必要とされています。
AIエージェントが企業のメール・カレンダー・コードリポジトリに接続するようになった今、プロンプトインジェクション対策は「いつかやる」ではなく「今すぐやる」セキュリティ課題です。OWASPの分類変更とCISAの警告は、組織がAIエージェント導入の前にセキュリティアーキテクチャを根本から見直す必要性を示しています。