OWASP 2026年版「LLMアプリケーションTop 10脆弱性」で2年連続首位を守るプロンプトインジェクション攻撃が、2026年Q1についに「理論的リスク」から「実被害」フェーズへと移行したことが、OWASPの四半期搾取レポートで明らかになりました。GPT-4oおよびClaude系モデルのメール・カレンダー統合エージェントへの間接攻撃により、ユーザーが気づかないままデータが窃取される成功事例が複数報告されています。
今回報告された攻撃の多くは「間接プロンプトインジェクション(Indirect Prompt Injection)」と呼ばれる手法です。攻撃者は悪意ある指示を電子メール本文やカレンダーの招待文などに埋め込み、AIエージェントがそのコンテンツを処理する際に意図しない操作を実行させます。たとえば、受信トレイを読み要約するエージェントが、仕掛けられたメールの指示に従い別アドレスへデータを転送してしまうケースが報告されました。ユーザーには通常の要約結果しか表示されないため、被害の発覚が遅れる点が特に深刻です。
OWASPのレポートによると、Q1 2026に確認された実被害事例は前四半期比で約3倍に増加しており、企業が急速にAIエージェントをワークフローへ統合するペースに、セキュリティ対策が追いついていない現状を映し出しています。また今月初頭に発覚したMetaのAIサポートチャットボットを悪用したInstagramアカウント乗っ取り事件(2万件超の被害)についても、セキュリティ研究者たちは「同根の問題」として関連付けて分析しています。X(旧Twitter)では「AIサポートボット乗っ取りとエージェント攻撃は同根だ」と指摘した研究者の投稿が広く拡散されました。
Hacker Newsでは、OWASPレポートを受けた長大なディスカッションが展開されました。エンジニアや研究者の間で「エージェントIDの検証」と「オーケストレーション層の保護」が最重要課題として浮上しています。具体的な対策としては、AIエージェントへの権限付与を最小限にする「最小権限の原則」の適用、外部コンテンツを処理する際のサンドボックス化、そして人間による承認ステップの挿入が推奨されています。単一のモデルレベルのフィルタリングだけでは不十分であり、システム全体の設計としてインジェクションを前提とした防御が求められるフェーズに入ったといえます。
AIエージェントの活用が企業内で加速する中、今後はエージェントフレームワーク開発者・クラウドプロバイダー・エンタープライズセキュリティチームが三位一体で対策を進められるかどうかが、安全なAI活用普及の鍵を握りそうです。