2026年に入りプロンプトインジェクション攻撃が前年比340%増加しており、AIセキュリティの最重要課題として急浮上しています。セキュリティ研究組織Unit 42は初の大規模な「間接プロンプトインジェクション」攻撃の事例を記録しており、広告審査の回避やシステムプロンプトの漏洩といった実害が実際に確認されています。OWASP(Open Web Application Security Project)はすでにプロンプトインジェクションをLLMアプリケーションのTop 10リスクの第1位に位置づけており、2025年11月から2026年2月までのわずか3か月で悪意ある攻撃の検出数が32%増加したというデータも報告されています。
AIRIAの分析によると、攻撃手法は直接プロンプトインジェクション(ユーザーが悪意ある指示を直接入力する手法)から、間接プロンプトインジェクション(外部データソースやウェブページ・ドキュメントを通じてモデルを操作する手法)へと高度化が進んでいます。エンタープライズ環境で広く導入が進むRAG(検索拡張生成)システムは、外部データを取得して回答を生成する性質上、データポイズニングと組み合わせた攻撃に特に脆弱であることが指摘されています。X(旧Twitter)では「LLMには信頼できないコンテンツという概念がない。入力はすべて命令として解釈されてしまう根本的欠陥」という指摘が多数のセキュリティ研究者にリツイートされ、モデルアーキテクチャそのものの限界を問う声が相次ぎました。Hacker Newsでは「問題はモデルそのものでなくアーキテクチャ設計にある。入力と命令を構造的に分離する仕組みなしにはこの問題は解決しない」という根本的批判が多くの賛同を集め、特権レベルの分離を可能にする新しい設計原則を議論するスレッドが大きく盛り上がりました。
Redditのr/netsecでは「エンタープライズAIエージェントへの攻撃コストが劇的に下がっている。RAGシステムへのデータポイズニングとセットで狙われるケースが増加している」という実務的な懸念が共有されており、防衛策として入力サニタイズ・出力フィルタリング・最小権限の原則によるエージェント設計の重要性が強調されています。OWASPや主要クラウドプロバイダーがガイダンスの整備を急いでいますが、攻撃手法の進化スピードに防御側が追いつけるかどうかが、2026年後半のAIセキュリティの最大の焦点となります。