AIへの入力を通じてシステムを乗っ取る「プロンプトインジェクション攻撃」の検出数が、2025年11月から2026年2月の4ヶ月間で前四半期比32%増加していることが明らかになりました。セキュリティ標準化団体OWASPはこの攻撃手法をLLM(大規模言語モデル)向けセキュリティリスクの最重要項目「LLM01」に指定しており、2026年3月にはPalo Alto NetworksのUnit 42が商用プラットフォームにおける広告審査回避・システムプロンプト漏洩を含む実世界での大規模な間接型攻撃を初めて文書化しています。
プロンプトインジェクションとは、AIモデルへの入力データに悪意ある指示を埋め込むことで、本来の処理フローを書き換える攻撃手法です。特に「間接型」は、AIが外部のウェブページやドキュメントを参照する際、そのコンテンツ内に仕込まれた指示を実行してしまうもので、防御が難しいとされています。さらに深刻なのはGitHub Copilot経由のリモートコード実行脆弱性(CVE-2025-53773、CVSS 9.6)で、コーディング支援AIを介してホスト環境が侵害されるリスクが実証されています。
X(旧Twitter)では「OWASPのAI最重要脅威が現実の攻撃として観測されている」と警鐘を鳴らすセキュリティ研究者の投稿が急増しています。Redditのr/ArtificialIntelligenceでは「AIにデータとしてのコンテンツを与えると、それが命令になる——この問題の根本解決が見えない」という悲観的な議論が広がっており、Hacker NewsではGitHub Copilot経由のRCEに触れたスレッドが「AIコーディングツールが新たな攻撃面になった」というタイトルで上位を維持しています。
プロンプトインジェクションはSQLインジェクションと構造的に類似しており、かつてSQLインジェクションがウェブ開発のあり方を変えたように、今後AIを組み込んだシステム全般で入力検証とサンドボックス設計の見直しが迫られることになります。エージェント型AIがツールや外部データへのアクセス権を持つようになるほど、この脆弱性の影響範囲は拡大します。企業のAI導入担当者にとって、開発効率の向上と同時に入力無害化(サニタイジング)の仕組み整備が急務となっています。