OWASP LLM Top 10でプロンプトインジェクションが引き続き1位を維持していることが確認されました。セキュリティ監査を受けた企業AIシステムの73%で発見されており、2025年の推定被害総額は23億ドルに達しています。特に「間接プロンプトインジェクション」によるゼロクリックの機密データ窃取が深刻な新脅威として浮上しています。
従来のプロンプトインジェクションはユーザーが悪意ある指示を直接入力する攻撃でしたが、近年深刻化しているのは「間接プロンプトインジェクション」です。攻撃者がウェブページ、文書、メールなどの外部コンテンツに悪意ある指示を埋め込み、AIエージェントがそのコンテンツを処理した際に意図せず攻撃者の指示を実行してしまう手法です。「EchoLeak」と呼ばれる攻撃手法では、ユーザーが特定のページを閲覧するだけで——つまりゼロクリックで——会話中の機密情報が外部に送信されるケースも報告されています。
X上では「3年たっても根本解決できない問題をAIエージェントに本番環境で使うのは無責任」という声が複数の著名セキュリティ研究者から上がり、広く共感を集めました。r/netsecでは組織がプロンプトインジェクション対策を後回しにする原因として「見えにくいリスク」であることが指摘されています。SQLインジェクションと違い、攻撃の痕跡がログに残りにくく、被害が判明しにくい特性があります。Hacker Newsでは「LLMが命令とデータを区別できない根本的なアーキテクチャ問題の解決なしに完全な防御は不可能」という悲観的な見方が上位を占めました。
根本的な解決策がない中でも、入力検証・出力フィルタリング・最小権限原則の徹底・エージェントのサンドボックス化といった多層防御は有効な軽減策とされています。AIエージェントを本番環境に展開する組織にとって、プロンプトインジェクション対策はもはや「検討事項」ではなく「必須要件」です。生成AI活用が進む2026年において、この問題への向き合い方が企業のAIセキュリティ成熟度の試金石になりつつあります。