何が起きたか
Akamai は、エージェント的 AI システムに対する現実的な段階的攻撃チェーンの詳細な技術解説 (2026年7月17日) を公開しました。ツール表面とビジネスロジックをマッピングするための偵察、その後、エージェントを精密なプロンプトインジェクションで操作して、エージェントに不正なアクション (無料フライトブッキング) を実行させるための偽の内部状態を作成します。
なぜ重要か
これはプロンプトインジェクションを抽象的なリスクから、本番スタイルのエージェント的ワークフローに対する具体的で再現可能なビジネスロジックバイパス攻撃に移します。エージェント独立で検証されたバックエンドチェックではなく、独自の推論状態を信頼するエージェントが実世界の取引を認可するように操作される可能性を示します。これは、商取引、金融、または承認のためにツール呼び出し AI エージェントをデプロイしている任意のエンタープライズに直接関連しています。
攻撃経路
AI エージェントのツール表面をマッピングしてシステムプロンプト/決定ルールを抽出するための先行偵察技術に基づいて、Akamai 研究者は完全なキルチェーンをデモンストレーションします。攻撃者は偵察を使用して、エージェントがフライトをブッキングする前にチェックする正確な前提条件 (支払い承認) を学び、その後、前提条件がすでに満たされていることをエージェントに確信させる細工されたツール出力/コンテキストを注入して、支払いをスキップして無料ブッキングを発行させます。
影響を受けるシステム
順序付けられたツールベースのワークフロー (架空の航空会社ブッキングエージェント「Varda」に対してデモンストレーション) を持つデプロイされたエージェント的 AI アプリケーション
緩和策
バックエンドツールがエージェント独自の内部推論またはなりすまし可能なツール出力を信頼するのではなく、状態/前提条件 (例:支払い確認) を独立して検証することを確認します。エージェントツール呼び出しパイプラインの前にプロンプトインジェクション検出 (AI のファイアウォール等) をデプロイします。