インターネットセキュリティ標準化団体のCIS(Center for Internet Security)は4月1日、プロンプトインジェクション攻撃を生成AI(GenAI)に対する最大の脅威と位置づけるレポート「Prompt Injections: The Inherent Threat to Generative AI」を公表しました。Recorded Futureの調査によれば2025〜2026年にかけて攻撃件数は340%増加し、被害総額は23億ドルに上るとされています。企業AI展開の拡大(同280%増)を上回る速度で攻撃が増えており、VentureBeatの調査では専用の防御策を持つ企業はわずか34.7%にとどまっています。
プロンプトインジェクション(Prompt Injection)とは、AIシステムに処理させる文書・メール・Webサイトなどに悪意ある命令を埋め込み、AIに意図しない動作をさせる攻撃手法です。OWASPのLLMセキュリティプロジェクトは2026年3月、この手法をLLMアプリケーションの脆弱性トップ10で「最高重大度」に分類しました。
最も具体的な実害例として挙げられているのが、CVE-2025-53773です。GitHub CopilotとVisual Studioに存在したこの脆弱性は、プルリクエストの説明文など通常のコードレビュー対象となるテキストに隠しプロンプトを仕込むだけで、Copilotを経由してローカル環境でのリモートコード実行(RCE)が可能になるというものでした。CVSS(共通脆弱性評価システム)スコアは7.8(HIGH)で、CISのレポートではCVSS 9.6とも紹介されています。Microsoftは2025年8月のPatch Tuesdayでこの脆弱性を修正しましたが、企業内でGitHubを利用しているすべての開発者が潜在的に影響を受けた可能性があります。
Reddit・r/netsecではこのCVEが特に大きな反響を呼び、「PRの説明文に隠しプロンプトを仕込むだけでRCEできる——GitHub利用者全員への警告だ」というコメントが多数の支持を集めました。OWASPが最高重大度に分類したことについては「ようやく業界が本気で向き合い始めた」とする声がHacker Newsで多く見られます。X(旧Twitter)でも「企業の65%は無防備なまま。AIセキュリティは構造的な問題になっている」という投稿が広く共有されています。
CISのレポートが強調するのは、攻撃の「構造的な不可避性」です。LLMは命令とデータを同一のトークンストリームとして処理するため、AIに何を「信頼すべき命令」で何が「外部からのデータ」かを確実に識別させることが現時点の技術では困難です。これは次のID 6のOpenAIの声明にもつながる問題です。専門家は防御策として、入力検証・特権分離・コンテキスト制限・モデル出力の人間によるレビューなどを組み合わせる「多層防御(Defense in Depth)」を推奨しています。AI活用を進める組織には、製品・サービスのセキュリティ設計段階からこの脅威を織り込むことが不可欠です。