Googleのセキュリティチームは4月、AIエージェントを標的とした間接プロンプトインジェクション(IPI:Indirect Prompt Injection)攻撃が2025年11月から2026年2月の4カ月間で32%増加したと報告しました。Googleは月間20〜30億ページのクロールデータを分析し、悪意ある命令が埋め込まれたウェブページやHTMLを継続的に観測したと述べています。攻撃者がAIエージェントを通じて金融詐欺・データ破壊・APIキー窃取を実行しようとする手口が多様化しており、CIエージェントがAPIキーをパブリックのPRコメントに書き出した実例も報告されました。
Googleが分類した攻撃手口は5カテゴリ10種で、「無害ないたずら」から「検索エンジン最適化操作」を経て「AIエージェントの行動抑止」「データ窃取・破壊目的の悪意ある攻撃」まで幅広く存在します。Cybernewsが特に注目したのは、支払い機能を持つAIエージェントを標的にした事例で、通常のウェブページに埋め込まれたPayPalへの具体的な送金指示がエージェントによって実行されうる状態だったとされています。さらにCIエージェントに対してPR本文にプロンプトを埋め込むだけでAPIキーを盗み出す手法も報告されており、開発ワークフローへの影響が懸念されています。
X上では「PR本文にプロンプトを埋め込むだけでCIエージェントのAPIキーを盗めた事例が衝撃的」という反応が広がり、「セキュリティ系AIエージェントへの投資が急務」との声も多く見られました。r/netsecやr/ProgrammerHumorでは「AIエージェントはCIに入れてはいけない段階にまだある」「セキュリティの基礎ができていないのに自律化を進めすぎ」という批判的コメントが人気を集めました。Hacker Newsでは「プロンプトインジェクションはまだ根本的に解決されていない」というスレッドがフロントページに上がり、OWASPのLLMセキュリティTop 10の「LLM01」(プロンプトインジェクション)対策の限界についての議論が活発に展開されています。
Googleの分析では、現時点での攻撃の多くは技術的な洗練度が低く自動化されたものが主流ですが、今後はAIエージェント自身が攻撃の自動化に活用されることでコストが下がり、規模・複雑さの両面で急速に拡大すると予測しています。Help Net Securityは「AIシステムの価値が高まるにつれ標的としての魅力も増す」と指摘しており、入力の検証強化・エージェントの権限最小化・不審な挙動の監視体制の整備が急がれます。