技術的な説明
Brave Security Researchは2026年6月8日に、悪意のある指示が第三者のコンテンツに埋め込まれてAIエージェントのタスクを乗っ取る間接的なプロンプトインジェクションが、クラウドホスト型AI(Mozilla Tabstack)と完全にオンデバイスAI(macOS向けCotypist)の両方に対して同等に機能することを実証的に示しました。Tabstackの場合、ウェブページ上の見えないテキストがエージェントを要約タスクから放棄させ、攻撃者が管理するフォームに移動させ、ユーザーの会話履歴でそれを入力させ、送信させました。Cotypistの場合、ローカル文書内の指示がオートコンプリート提案に影響を与え、認証情報を表示しました。Mozillaは責任ある開示後にTabstackにパッチを適用しました。Cotypistはユーザーによる提案の受け入れが必要ですが、指示操作の影響を依然として受けています。根本原因はアーキテクチャ上の問題です。両方のシステムが、信頼できる開発者プロンプトと信頼できない外部データを単一のフラットコンテキストウィンドウで構成し、確実な境界の強制がありません。
攻撃経路
攻撃者は、AIツールが摂取する可能性があるあらゆるコンテンツに悪意のある指示を埋め込みます。ウェブページ(白を背景に白いテキストまたはゼロ幅文字で隠す)、文書、メールコンテンツ、ツール結果、または取得されたコンテキスト。AIシステムへの直接アクセスは必要ありません。ペイロードはユーザーの通常のワークフローを通じて到達します。
影響を受けるシステム
システムおよびユーザー指示と同じコンテキストウィンドウで信頼できない外部コンテンツ(ウェブページ、文書、メール、検索結果)を摂取するあらゆるAIエージェントまたはAI支援ツール。Mozilla Tabstack(クラウド)およびCotypist(オンデバイスmacOS)に対して実証されました。同じチームにより以前にOpera NeonおよびPerplexity Cometに対して実証されました。
緩和策
アーキテクチャ上の緩和策:指示チャネルとデータチャネルを分離する厳密なコンテキストウィンドウセグメンテーション。来源タグ付け。外部への任意の書き込み(フォーム送信、APIコール、ファイル書き込み)の前に明示的なユーザー確認を要求すること。取得されたすべてのコンテンツを指示ではなくデータとして扱うこと。ランタイム:外部ソースから摂取されたコンテンツにプロンプトインジェクションフィルターを適用する。エージェントの決定トレースをログに記録し、予期しない指示ソースがないか検査する。