何が起きたか
2026年5月20日、シンガポールのサイバーセキュリティ庁(CSA)、GovTech Singapore、IMDA、およびGoogleは、2025年8月から約4か月間にわたって実施された世界初のAI エージェント サンドボックスの調査結果を発表しました。このサンドボックスは、政府デジタルサービスの自動品質保証、展開済みチャットボットのAI安全性テスト、および社会扶助申請ガイダンスの3つの実際の公共部門ユースケースにわたって、コンピュータ使用エージェントをテストしました。すべてのユースケースにおいて、特定された最も顕著なサイバーセキュリティリスクは間接プロンプトインジェクションでした。具体的には、エージェントが環境内で遭遇する悪意のあるコンテンツを通じて、リモートコード実行(RCE)を含む意図しないアクションを実行するよう欺かれるリスクです。報告書はまた、人間による監視の調整、エージェント-データ相互作用中のデータ保護、および第三者エージェントカスタマイズを重要なリスク課題として特定しました。報告書は、リスクベースの人間監視(高リスク向けの事前承認、可逆的低リスク向けの事後レビュー)、プラットフォーム、組織、およびユーザー層全体に分散したセーフガード、および制御された段階的導入を推奨しています。
なぜ重要か
これは、間接プロンプトインジェクション → RCEが単なる理論的懸念ではなく、エージェントシステムにおける実世界の本番リスクであることを確認する最初の政府支援による実証研究です。この知見は強い実践的な重みを持っています。これらは堅牢に保護されたシステムに対するレッドチームエクササイズではなく、コンピュータ使用エージェントを実行している実際の公共部門ワークフローでした。マルチエージェンシー シンガポール(CSA + GovTech + IMDA)の支持は、プロンプトインジェクション防御がシンガポール政府AI調達における予想されるベースラインであり、その拡張として、AI Verifyフレームワークなどのベンダー認証の対象になることを示唆しています。
必要な対応
間接プロンプトインジェクションを、特にウェブを閲覧する、メールを読む、または外部ソースからのドキュメントを処理するコンピュータ使用エージェントなど、あらゆるエージェント展開の必須テストケースとして扱ってください。RCEパスプロンプトインジェクションテストを展開前セキュリティレビューチェックリストに追加してください。エージェント編成レイヤーが指示内容を取得/外部コンテンツから分離しているかどうかを評価し、ツール呼び出し出力が信頼されないインプットとして扱われているかどうかを評価してください。