何が起きたか
Adversa AIは2026年第2四半期のAIリスク・クアドラント(AIRQ)レポートを6月3~4日に発表し、攻撃表面、被害範囲、防御制御にわたって100個の商用および公開されている本番AIエージェントを評価しました。Cloud Security Allianceは6月6日にこれらの知見を増幅する調査ノートを発表しました。このレポートは、評価対象エージェントの98%が同時に私有/機密データへのアクセス、信頼されていない外部コンテンツへの露出、および送信アクション実行能力を保持していることを特定しました。これらは間接プロンプトインジェクションを可能にする「致命的なトリフェクタ」です。適切に防御されたとスコアされたのはわずか11%のエージェントであり、コーディングエージェントは能力では2位でしたが防御では8位でした。これはサプライチェーンレベルのリスクを生み出しています。
なぜ重要か
本番エージェントの98%が3つすべてのトリフェクタ条件を保有しているという知見は、理論的な警告ではなく、100個の実際の運用環境から導き出された実証的なベースラインです。敵対者が単一の悪意のあるドキュメント、メール、またはAPIレスポンスをエージェントのコンテキストに配置できる場合、89%のケースで、追加の足がかりなしに特権アクション能力をハイジャックできます。これにより、間接プロンプトインジェクションはエンタープライズAIの本番攻撃となっています。
必要な対応
デプロイされたエージェント全体でトリフェクタ監査を実行します:(a)機密/私有データへのアクセス、(b)信頼されていないサードパーティコンテンツへの露出、および(c)送信アクション能力のいずれを保持しているかを列挙し、3つすべてが同時に存在するすべてのエージェントに対する即座の制御追加(ツール許可リスト、アクションごとの承認ゲート、出口フィルタリング)を優先順位付けします。