何が起きたか
Adversa AIは2026年第2四半期のAIリスク四分円(AIRQ)レポートを6月3日~4日に発表し、攻撃面、影響範囲、防御制御について100の商用および公開利用可能な本番環境AIエージェントを評価しました。Cloud Security Allianceは6月6日に調査結果を増幅する研究ノートを発表しました。レポートは、評価されたエージェントの98%が同時にプライベート/機密データへのアクセス、信頼できない外部コンテンツへの露出、アウトバウンドアクションを実行する能力を持つことを特定しました。これは間接的なプロンプトインジェクションを可能にする「致命的な三位一体」です。エージェントの11%のみが適切に防御されていると評価され、コーディングエージェントは機能では2番目にランク付けされながらも防御では8番目であり、サプライチェーンレベルのリスクを生成しています。
なぜ重要か
本番環境エージェントの98%が三位一体の条件をすべて持つという知見は、理論的な警告ではなく、100の実際のデプロイメントから得られた経験的なベースラインです。攻撃者が単一の悪意あるドキュメント、メール、またはAPIレスポンスをエージェントのコンテキストに配置できれば、89%の場合において追加のフットホールなしに特権アクションの機能をハイジャックできます。これにより、間接的なプロンプトインジェクションはエンタープライズAIの記録上の本番環境攻撃となります。
必要な対応
デプロイされたエージェント全体で三位一体監査を実行します:(a)機密/プライベートデータへのアクセス、(b)信頼できない第三者コンテンツへの露出、(c)アウトバウンドアクション機能を保持するエージェントを列挙し、3つすべてが同時に存在するすべてのエージェントに対して即座の制御追加(ツール許可リスト、アクション単位の承認ゲート、エグレスフィルタリング)を優先順位付けします。