技術的な説明
Forcepoint シニアセキュリティ研究者のMayur Sewaniは2026年4月22日に公開した研究で、金融詐欺、データ破壊、APIキー盗難、システム侵害を実現するための悪意のある指示を含むAIエージェントを標的とした10個の間接プロンプトインジェクション(IPI)ペイロードを特定しました。1つのペイロードは、LLMベースのコーディングアシスタントまたはシェルアクセス権を持つエージェント型AIにUnixコマンドを実行させ、ファイルとディレクトリを再帰的に強制削除することを試みます。研究者は、IDE、ターミナル環境、開発者ツールに統合されたAIアシスタントの攻撃面が最も広いことを強調しました。
攻撃経路
間接プロンプトインジェクション攻撃は、AIエージェントが取り込む外部コンテンツ(ドキュメント、ウェブページ、コードリポジトリ)に悪意のある指示を埋め込みます。エージェントがコンテンツを処理すると、注入されたプロンプトが正当なユーザー指示をオーバーライドし、エージェントが権限のないアクションを実行させられます。公開されたペイロードは、特にシェルアクセス権またはファイルシステム権限を持つツール使用機能を備えたエージェント型ワークフローを標的とします。
影響を受けるシステム
AIコーディングアシスタント、開発者ツール、シェルアクセス権を持つエージェント型AI、LLMベースのターミナル統合、および外部ドキュメントまたはウェブコンテンツを読み込んでシステムコマンドを実行できるあらゆるAIエージェント。
緩和策
エージェント取り込み前のすべての外部コンテンツに対して厳密な入力検証を実装してください。ツールとデータアクセスをエージェントロールごとに必要最小限に制限してください。高リスクアクション(ファイル削除、システムコマンド、APIキーアクセス)に対してはヒューマンインザループ承認を実施してください。異常なエージェント動作、特に権限昇格または予期しないツール呼び出しの監視をデプロイしてください。エージェント実行環境を本番システムから分離してください。