OWASPのジェネレーティブAIセキュリティプロジェクトが公表した2026年版レポートによると、プロンプトインジェクション攻撃は前年比340%増と急増しており、同組織はこの脆弱性を「修正不可能な構造的欠陥」と位置づけています。LLM(大規模言語モデル)が信頼できる命令と外部データを同一のトークンストリームで処理する仕組み上、根本的な解決は極めて困難だとされています。
OWASPによると、この問題の本質はLLMのアーキテクチャそのものにあります。モデルは「システムプロンプトで与えられた命令」と「ユーザーが入力したデータ」を区別する確実な手段を持たず、悪意ある入力が命令として機能してしまうリスクを常に抱えています。今回のレポートにはGitHub CopilotのCVE-2025-53773(CVSS 9.6)も収録されており、プルリクエストの説明文に埋め込まれたプロンプトが遠隔コード実行(RCE)を可能にするという実例が詳述されています。
X(旧Twitter)では「『パッチで直せない欠陥』という表現が業界に衝撃——AIエージェント導入を急ぐ企業への警鐘」という投稿が拡散し、セキュリティ実務者を中心に大きな反響を呼びました。r/netSecではGitHub Copilot RCEの技術的分析スレが急上昇。Hacker Newsでは「最小権限の徹底だけが現実的な防御策」という実務者コメントが多数のupvoteを集め、ソフトウェア的な修正よりもアーキテクチャレベルの設計見直しを求める声が目立ちます。
AIエージェントが企業システムに深く組み込まれるほど、プロンプトインジェクションの影響範囲は拡大します。OWASPが「修正不可能」と断言した今、開発組織には「AIが受け取るデータを信頼しない」という前提でシステム設計を見直すことが急務となっています。