何が起きたか
2026年5月20日、シンガポール・サイバーセキュリティ庁(CSA)、GovTech Singapore、IMDA、およびGoogleは、2025年8月から約4ヶ月間にわたって実施された世界初のAIエージェント・サンドボックスの調査結果を発表した。このサンドボックスは、政府デジタルサービスの自動品質保証、展開されたチャットボットのAI安全テスト、社会福祉申請案内の3つの実際の公共部門ユースケースにおいて、コンピュータ利用エージェントをテストした。全てのユースケースにおいて、特定された最も顕著なサイバーセキュリティリスクは間接的プロンプトインジェクション、すなわちエージェントが環境内で遭遇する悪意のあるコンテンツを通じて、遠隔コード実行(RCE)を含む意図しない行動を実行するよう騙される可能性であった。報告書はまた、人的監視の調整、エージェント・データ相互作用中のデータ保護、および第三者エージェントのカスタマイズを重要なリスクテーマとして特定した。報告書は、リスクベースの人的監視(高リスク向けの事前承認、可逆的な低リスク向けの事後レビュー)、プラットフォーム、組織、およびユーザー層全体にわたる分散セーフガード、および統制された段階的展開を推奨している。
なぜ重要か
これは、間接的プロンプトインジェクション→RCEが単なる理論的な懸念ではなく、エージェント・システムにおける実世界の本番環境リスクであることを確認する最初の政府支援実証研究である。この知見は強力な実用的重みを持つ:これらは強化されたシステムに対するレッドチーム演習ではなく、コンピュータ利用エージェントを実行する実際の公共部門のワークフローであった。マルチエージェンシーのシンガポール公式承認(CSA + GovTech + IMDA)は、プロンプトインジェクション防御がシンガポール政府のAI調達および拡張して AI Verify フレームワークなどのベンダー認証における予期された基盤となることを示唆している。
必要な対応
間接的プロンプトインジェクションを、任意のエージェント展開、特にウェブを閲覧したり、メールを読んだり、外部ソースからドキュメントを処理したりするコンピュータ利用エージェントの必須テストケースとして扱うこと。RCEパス・プロンプトインジェクション・テストを展開前のセキュリティレビューチェックリストに追加すること。エージェント・オーケストレーション層が指示内容と取得/外部コンテンツを分離するかどうか、およびツールコール出力が信頼できない入力として処理されるかどうかを評価すること。