米国Center for Internet Security(CIS)は2026年4月、州・地方・部族・準州(SLTT)政府機関でのGenerative AI(生成AI)の日常業務利用が急拡大していることを受け、プロンプトインジェクション攻撃(AIシステムへの悪意ある命令挿入)が深刻かつ増大するリスクになっているという警告報告書を発表しました。CISによると、攻撃者はメール・ドキュメント・Webサイトなど生成AIツールがアクセス可能なコンテンツに悪意ある命令を隠し込み、機密データの窃取、不正なシステムアクセス、業務妨害を引き起こすことができます。この「間接プロンプトインジェクション(Indirect Prompt Injection)」はOpen Web Application Security Project(OWASP)が2025年のLLMアプリケーション向け脅威ランキングで1位に位置づけており、引き続き業界最大の懸念事項となっています。
Help Net Securityの報道によると、問題の本質はAIモデルが「命令(instruction)」と「データ(data)」を根本的に区別できないアーキテクチャにあります。さらに、AIエージェントがコード実行やAPIアクセスなどの高権限操作を担うケースが増えるにつれ、攻撃者が悪用できる攻撃対象領域(attack surface)は指数的に拡大しています。r/netsecでは「AIエージェントの普及がattack surfaceを爆発的に拡大している」という議論がホットスレッドとなっており、2025年に発覚したGitHub Copilotのリモートコード実行脆弱性(CVE-2025-53773)の事例も頻繁に引用されています。
X上では「政府職員がGenAIを使いながらプロンプトインジェクションを理解していない現実は恐ろしい」とセキュリティ専門家が相次いで警鐘を鳴らしています。Hacker Newsでは「モデルがinstructionとdataを区別できない根本的問題が未解決のまま普及が進んでいる」という技術的議論がトップを占め、適切なサンドボックス設計の重要性が繰り返し強調されています。
CISは具体的な対策として、最小権限の原則によるAIアクセス制限、高インパクトな操作前の人間承認フロー、AIがアクセス可能なデータとシステムの台帳管理、スタッフへの攻撃認識訓練、そしてペネトレーションテストへのAIセキュリティ評価の組み込みを推奨しています。政府機関でのAI活用が加速するなか、導入速度と安全対策の整備が比例していないという構造的なギャップが浮き彫りになっています。