技術的な説明
Forcepoint シニアセキュリティリサーチャーのMayur Sewaniは2026年4月22日に、財務詐欺、データ破壊、APIキー窃取、およびシステム侵害を目的とした悪意のある指示を含む、AIエージェントを標的とした10個の間接プロンプトインジェクション(IPI)ペイロードを特定した研究を発表した。あるペイロードは、LLMを利用したコーディングアシスタントまたはシェルアクセスを持つエージェンティックAIに、ファイルとディレクトリの再帰的な強制削除のためのUnixコマンドを実行するよう強制しようとする。研究者は、IDEに統合されたAIアシスタント、ターミナル環境、および開発者ツールの攻撃面が最も高いことを強調した。
攻撃経路
間接プロンプトインジェクション攻撃は、AIエージェントが取り込む外部コンテンツ(ドキュメント、ウェブページ、コードリポジトリ)に悪意のある指示を埋め込む。エージェントがコンテンツを処理する際、注入されたプロンプトは正当なユーザー指示をオーバーライドし、エージェントに不正な動作を実行させる。開示されたペイロードは、ツール使用機能を持つエージェンティックワークフロー、特にシェルアクセスまたはファイルシステム権限を持つものを標的としている。
影響を受けるシステム
AIコーディングアシスタント、開発者ツール、シェルアクセスを持つエージェンティックAI、LLMを利用したターミナル統合、および外部ドキュメントまたはウェブコンテンツを読み取ってシステムコマンドを実行できるあらゆるAIエージェント。
緩和策
エージェントが取り込む前に、すべての外部コンテンツに対して厳格な入力検証を実装する。ツールとデータアクセスを、エージェントロールごとに必要最小限に制限する。高リスク動作(ファイル削除、システムコマンド、APIキーアクセス)に対して人間によるループ内承認を強制する。異常なエージェント動作、特に権限昇格や予期しないツール呼び出しについてのモニタリングをデプロイする。エージェント実行環境を本番システムから分離する。