OpenAIはエンタープライズ(企業向け)の公式声明の中で、プロンプトインジェクション攻撃(Prompt Injection)を「現在のLLM(大規模言語モデル)アーキテクチャの根本的な限界」と認定し、長期的な脅威として残り続けると明言しました。VentureBeatの報道によれば、同社は「命令とデータが同一のトークンストリームを通って処理される以上、両者を確実に区別できるアーキテクチャを持たない現行世代のLLMにプロンプトインジェクションの完全解決は不可能」と説明しています。CPUがメモリ上でコードとデータを分離するように、AI側でも同様の分離が実現されるまではこの問題は残り続けるという立場です。
OpenAIは2026年2月13日にChatGPT向けに「Lockdown Mode(ロックダウンモード)」と「Elevated Risk(高リスク)」ラベルを導入しました。これはブラウザエージェントが外部コンテンツを処理する際のリスクを明示・制限する機能ですが、あくまで緩和策(ミティゲーション)であり根本的な解決ではないと同社自身が説明しています。The Decoderの報道では「プロンプトインジェクションはAIエージェントが人間のためにインターネットを閲覧・操作するビジョンそのものへの根本的な疑問符になっている」と指摘されています。
この声明の意味は技術的な文脈だけに留まりません。Reddit・r/netsecでは法的観点からの議論が生まれており、「OpenAIが認めたことで、AIセキュリティを軽視してきた企業に対して偽請求法(FCA:False Claims Act)や過失を根拠にした説明責任が問われやすくなる」との意見が多く見られます。Hacker Newsでも「根本的な修正なしにAIエージェントをインターネットに接続する危険性が改めて浮き彫りになった。今後エージェントAIを展開する企業は、この認識を前提にした設計が求められる」という声が上位を占めています。
X(旧Twitter)では「OpenAI製品開発者全員への警告。設計段階での緩和策が不可欠」という実務的な反応が多く、フロンティアラボ自身が問題を公式に認めたことで、セキュリティエンジニアが社内提案を通しやすくなったという声も上がっています。
現実的な対応として専門家が推奨するのは多層防御です。具体的には、外部からの入力を信頼ゾーンから分離して処理する「特権分離」、入力コンテンツの事前フィルタリング、AIが実行できるアクションの明示的な制限、そして人間によるレビューを必須とする「ヒューマン・イン・ザ・ループ」の設計が挙げられます。OpenAI自身もLockdown Modeはこうした多層防御の一環として位置付けています。AIエージェントが外部ウェブにアクセスし、メールを送信し、コードを実行するような高権限の環境では、プロンプトインジェクション対策を後付けではなく最初から設計に組み込む必要があります。フロンティアラボが「解決不可能」と言い切った今、その前提で製品を作ることが業界標準になっていくでしょう。