AIを兵器として使ったサイバー攻撃が急加速しています。OWASPが公開した「GenAI Exploit Round-up Q1 2026」によると、2026年第1四半期のAI支援攻撃件数は前年同期比89%増を記録し、AIセキュリティが企業にとって避けられない最優先課題となっています。
報告書が特に警告するのが「プロンプトインジェクション」です。悪意ある入力をAIモデルに埋め込み、意図しない動作を引き起こすこの手口に対し、共通脆弱性評価システム(CVSS)スコア9.6という最高水準の危険度が付与されたCVE-2025-53773が登録されました。CVSSスコアが10.0満点中9.6というのは「緊急」レベルの脆弱性に相当し、企業システムへの直接的な侵害リスクを意味します。
同時に急増しているのが、LangChain・LiteLLMといったAIアプリケーション開発向けライブラリを狙ったサプライチェーン攻撃です。これらのライブラリは世界中の企業でAIアプリケーションの基盤として採用されているため、一つの脆弱性が連鎖的に膨大な数のシステムへ影響します。OWASPの報告書は、AIインフラへの依存が高まるほど攻撃対象も広がる「AIセキュリティのジレンマ」を浮き彫りにしています。
X(旧Twitter)ではセキュリティ研究者から「エクスプロイトがパッチより先に届く時代。AI時代のゼロデイは致命的」という警告が拡散しました。Hacker Newsでは「プロンプトインジェクションのCVSS 9.6は想定内だが、サプライチェーン経由の攻撃拡大は盲点だった」という現場エンジニアの声が上位に並んでいます。一方Redditのセキュリティコミュニティでは「AIアプリ開発者はOWASPチェックリストを今すぐ実装すべき」という啓蒙スレッドが多くの支持を集めています。
AIを使った攻撃が急増する背景には、攻撃コストの劇的な低下があります。高度なフィッシングメール生成や脆弱性スキャンが、AI活用により非専門家でも実行できるようになっています。MicrosoftがAIによる自律的脆弱性発見システム「MDASH」を発表するなど、防御側もAIを積極採用していますが、攻撃側の進化スピードとのギャップは依然として大きいとOWASPは指摘しています。AIを導入している企業は今すぐ、すべてのAIライブラリの依存関係審査とプロンプト入力のサニタイズ処理を再確認する必要があるでしょう。