脆弱性  ·  2026-07-06

SEOポイズニングと隠しHTML プロンプトインジェクションによるAIエージェント ポイズニング — エージェントが不正な暗号通貨支払いに誘導される

脆弱性High 影響度Global
Zscaler ThreatLabz(2026年7月3日頃発表、Threat-Modeling.comの7月4日脆弱性インテリジェンスレポートで報道)は、AIエージェントが人間が見えるコンテンツと隠しDOMコンテンツを区別できない能力を悪用した2つのライブキャンペーンを開示しました:エージェントに偽のライセンス料金を支払うよう指示する偽のPythonライブラリ(requests-secure-v2)ドキュメントページと、JSON-LD/Open Graph操作を使用してエージェントに権威あるソースとして扱わせるタイポスクワッティングされたDeBank クローン(debank[.]auction)です。テストは、モデル依存の脆弱性を示しました — 一部のモデルが不正な支払いを完了しました。
これは、ほぼすべてのエージェント型AIの信頼モデルに対する実証された現実世界の攻撃パス(理論的ではない)です。オープンウェブをクロールするAIコーディングアシスタント、研究エージェント、またはブラウザオートメーションツールは、ポイズニングされたトピックを研究するだけで露出され、マルウェアまたは認証情報の盗難を必要とせず、ウェブ全体が攻撃表面になります。
攻撃者はSEO最適化された偽のドキュメント/DeFiサイトを構築し、隠しDOMノード(CSS display:none/オフスクリーン配置、JSON-LD構造化メタデータ、HTMLコメント、alt-text)に間接的なプロンプトインジェクションペイロードを埋め込みます。AIエージェントが正当な研究またはトラブルシューティング中にページをスクレイプするとき、隠しイントラクションを信頼できるコンテキストとして取り込み、実行します — 例えば、Stripeまたはハードコードされた暗号ウォレットアドレスを通じて偽のライセンス料金を支払う、またはタイポスクワッティングされたDeFiサイトを権威あるものとして扱う(RAGポイズニング)。
AIコーディングアシスタント、ブラウザオートメーションエージェント、研究エージェント(モデル非依存 — GPT-5.4、Claude Sonnet 4.5クラスモデルに対して実証)
エージェント取り込みの前に隠しDOMノードを削除する;エージェント開始の支払い、認証情報送信、または不可逆的なアクションに対して人間の承認ゲートを強制する;エージェントのウェブ取得に対して信頼されたソースの許可リストと構造化メタデータの検証を使用する;OWASP LLM01に従って間接的なプロンプトインジェクションに対してエージェントを対抗的にテストする。
Threat-Modeling.com — AI Agent Poisoning via SEO and Hidden HTMLCybersecurityNews — Hackers Abuse SEO Poisoning and Hidden HTMLZscaler ThreatLabz research
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →