◈ AIセキュリティ・インテリジェンス ← 用語一覧
Attack  ·  用語集

Prompt injection

定義
悪意のある指示がテキストに隠されており、AIがそのテキストを読む際(ドキュメント、メール、ウェブページなど)にトリックを受け、元の指示を無視して攻撃者が望むことを代わりに実行させる攻撃。CEOからのメモを偽造して従業員のインボックスに忍び込ませるようなAIと同等のものと考えてください。AIはオペレーターからの正当な指示と攻撃者からの偽造指示を確実に区別することができません。
なぜ重要か
顧客メール、ウェブページ、アップロードされたドキュメントなど、外部コンテンツを読んだり要約したりするAIはすべて潜在的な標的です。攻撃が成功すると、AIは機密データを漏らしたり、不正な行動を実行したり、虚偽情報を拡散したりする可能性があります。すべてはユーザーまたはオペレーターが気付かないうちに起こります。
最近の事例で確認
StakeBench: No Production Web Agent Consistently Blocks Prompt Injection — Direct Attacks Succeed 79%+ Across GPT-5 and Gemini in 3,168 SimulationsIndirect Prompt Injection Is Architectural, Not Deployment-Specific — Brave Demonstrates Attacks Against Cloud and Local AI ToolsCross-Session Stored Prompt Injection in Agentic Systems — Persistent Injections Survive Session Termination, Silently Influencing Future ExecutionsGitInject: Multi-University Research Confirms All Major AI CI/CD Providers Vulnerable to Prompt Injection — Eleven Named Attack Classes Documented
このトピックの事例 (55)
Agentjacking: AI Coding Agents Hijacked via Sentry MCP Prompt InjectionStarlette BadHost ホストヘッダー認証バイパス — vLLM および FastAPI ベースの AI ツールに影響Eclipse Theia AI Chat — Markdownイメージタグがプロンプトインジェクション駆動型データ流出を有効化(CVE-2026-22551)Eclipse Theia AI Chat — ワークスペースのファイル/ディレクトリ名がAIシステムプロンプトに注入される (CVE-2026-44688)Shai-Hulud/Hades PyPI Supply-Chain Worm、AI/MLパッケージを標的にLLM Scanner回避とCredential-Wiper Daemonを搭載LiteLLM 低権限 → 管理者 → RCE 権限昇格チェーン (CVSS 9.9、Obsidian Security)CISA + G7共同ガイダンス:「AI向けソフトウェア部品表(SBOM)— 最小要素」Varonis SearchLeak (CVE-2026-42824) — Microsoft 365 Copilot Enterprise Search のワンクリックデータ流出チェーン、パッチ適用済みOpenClaw Zalo allowFrom ポリシーバイパス (変更可能な連絡先表示メタデータ経由) (CVE-2026-53857)TrueFoundry AI Gateway — Lasso Security統合による一元化されたGenAI保護Spring AI Vector Stores — 特殊文字インジェクションによりElasticsearch、OpenSearch、およびGemFireでの任意のクエリ実行が可能Shai-Hulud/Hades キャンペーン: PyPI サプライチェーン ワーム が AI スキャナー回避プロンプトと AI コーディングエージェント設定バックドアを注入LangGraph RCE チェーン: ステートフルエージェント チェックポインターにおける SQL インジェクション + msgpack デシリアライゼーション (CVE-2025-67644 + CVE-2026-28277)Google が WebMCP Agent セキュリティガイダンスを公開 — 悪意のあるマニフェストと汚染されたツール出力が主要な攻撃ベクトルであり、決定論的および確率論的対策を提供Anthropic、Claude Fable 5とMythos 5システムカードを公開 — 詳細なサイバー能力評価、デュアルコンフィグセーフティアーキテクチャ、およびエージェントプロンプトインジェクションベンチマーク結果CSA / Adversa AI AIRQ レポート:本番AI エージェントの98%が致命的なトリフェクタを保持 — わずか11%しか適切に防御されていないMiasma Wormが AI コーディングエージェントハイジャックにエスカレート — SessionStart Hook ペイロード注入後、73個の Microsoft GitHub リポジトリが無効化CSA Labs: AI Agent Lethal Trifecta — 本番環境エージェントの98%が同時に機密データアクセス、信頼できない入力、および外向きアクション機能を組み合わせているMicrosoft Security Blog: CI/CD Permission Bypass in Claude Code GitHub Actions Enables Supply-Chain Compromise — Remediation Guidance PublishedOpenAI、ChatGPT ロックダウンモードをリリース — プロンプトインジェクションデータ流出を対象とした初の組み込み本番制御マイクロソフト セキュリティ リサーチ:エージェンティック AI の脅威から CI/CD パイプラインを保護する — Claude Code GitHub Action ケーススタディNoma、エージェンティック・アクセス・コントロールを発表 — AI エージェントと MCP サーバー向けのダイナミック・レジストリ、アイデンティティ、およびポリシー・エンフォースメントCVE-2026-42074 (CVSS 9.3): OpenClaude Coding-Agent CLI — LLMが公開されたスキーマパラメータを介して独自のサンドボックスを無効化可能OWASP Agent Memory Guard リリース — エージェンティック メモリ ポイズニング対策のオープンソース ランタイムディフェンス (ASI06)Microsoftが AI エージェント向けの OS レベルカーネル強制サンドボックス MXC をローンチ。OpenAI と Nvidia がローンチパートナーCyberhaven、ツールポイズニング、間接プロンプトインジェクション、シャドウMCPを主要なリスク分類として、エンタープライズMCPセキュリティガイドを公開Palo Alto Networks、Portkey買収完了、Prisma AIRS AIゲートウェイをエージェント制御プレーンとして立ち上げarXiv: 「Plant, Persist, Trigger」— Sleeper Attack研究が、交差相互作用エージェントメモリポイズニングを異なる脅威クラスとして形式化LangChain逆シリアライゼーション脆弱性により、過度に広いオブジェクト許可リストを介したリモートコード実行が可能 — CVE-2026-44843 (CVSS 8.2)CVE-2026-41863: LLM の影響を受けたファイル名が Spring AI Anthropic Skills API でファイル書き込み前に Path.resolve に到達 — エージェント型ワークフロー パストラバーサルシンガポール政府AI Agentsサンドボックス:RCEを可能にする間接プロンプトインジェクションが最主流の本番環境エージェント攻撃ベクトルとして確認シンガポール政府–Google AI エージェント サンドボックス: 本番運用エージェント展開における主要サイバーセキュリティリスクとして間接プロンプトインジェクションが特定RAMPART と Clarity の紹介: エージェント開発ワークフローに安全性をもたらすオープンソースツールAnthropicが暗黙的にClaude Code Sandboxのバイパスをパッチ; 5ヶ月間で2番目のバイパス、CVEは発行されずCVE-2026-45244: Summarize ブラウザ拡張機能の認可欠落によるエージェント自動化のハイジャック脆弱性(悪意のあるコンテンツを経由)WARD Guard Model はプロンプトインジェクション攻撃に対してほぼ完璧なリコール率でウェブエージェントを防御AI脅威が新興市場の攻撃面を拡大 — シグネチャ検出を超える新しい攻撃ベクトルLyrie.aiがAgent Trust Protocol (ATP)をリリース—AI Agent暗号検証の初のオープン標準Heimdallr Framework がGitHub CI WorkflowsにおけるLLM誘発のセキュリティリスクを検出Cobalt ペネトレーションテストレポート:AI システムはレガシーアプリケーションより 2.5 倍高い深刻度の脆弱性密度を示すGemini CLI 間接的プロンプトインジェクション、サプライチェーン侵害を可能に (CVSS 10.0)NanoClaw コンテナエージェント ファイルシステム境界脆弱性によるホスト読み取り/書き込み可能化CISA と国際パートナーが安全なエージェンティック AI デプロイメントに関する共同勧告を発表モデルコンテキストプロトコルSTDIO トランスポートの系統的コマンド実行脆弱性が200,000台のAIエージェントサーバーに影響Forcepointが、AIエージェントを標的とした10個のIn-the-Wild間接プロンプトインジェクションペイロードを開示OpenAIがPII検出・編集のためのプライバシーフィルタモデルをリリースGoogle Antigravity AI Agent Manager Sandbox Escape Vulnerability「コメント・アンド・コントロール」:GitHubコメント経由のプロンプトインジェクションがClaude Code、Gemini CLI、およびGitHub Copilotを侵害ShareLeak / PipeLeak: パッチが適用されたMicrosoft Copilot StudioとSalesforce Agentforceは、プロンプトインジェクション経由のデータ流出に依然として対応Prompt Injection: OWASP #1 LLM Risk が2026年も急増し続けているGoogle DeepMindがウェブベースのAIエージェント罠の6つのカテゴリーをマッピングGoogle DeepMindが「AI Agent Traps」タクソノミーを公開:自律型エージェントに対する6つの攻撃カテゴリNIST AI Agent Standards Initiative Begins April Listening Sessions(NIST AI Agent Standards Initiativeが4月のリスニングセッションを開始)CISレポート:プロンプトインジェクション — 生成AIへの本質的な脅威MCP プロトコルツール ポイズニング(悪意のあるサーバー登録経由)
参考資料
OWASP Top 10 for LLM Applications — LLM01: Prompt InjectionNIST CSRC Glossary: Prompt Injection
ライブフィードで追跡 この概念が実際のAIセキュリティ・ガバナンスの動向でどう現れるかを確認。
フィードを開く →