◈ AIセキュリティ・インテリジェンス ← 用語一覧
Attack  ·  用語集

Prompt injection

定義
悪意のある命令がテキスト内に隠されている攻撃。例えば、ドキュメント、メール、ウェブページなど、AIが読むテキスト内に隠された命令により、AIは元の指示を無視するようにだまされ、代わりに攻撃者の望む動作を実行します。これはCEOからのメモを偽造して従業員のインボックスにこっそり入れるようなもので、AIの等価物です。AIは正当な事業者からの指示と攻撃者からの偽造された指示を確実に区別することができません。
なぜ重要か
外部コンテンツを読んだり要約したりするAI(顧客メール、ウェブページ、アップロードされたドキュメントなど)は、すべて潜在的な攻撃対象です。攻撃が成功すると、AIはユーザーまたはオペレーターが気づかないまま、機密データを漏洩させたり、不正な行動を実行したり、偽情報を拡散させたりする可能性があります。
最近の事例で確認
StakeBench: No Production Web Agent Consistently Blocks Prompt Injection — Direct Attacks Succeed 79%+ Across GPT-5 and Gemini in 3,168 SimulationsIndirect Prompt Injection Is Architectural, Not Deployment-Specific — Brave Demonstrates Attacks Against Cloud and Local AI ToolsCross-Session Stored Prompt Injection in Agentic Systems — Persistent Injections Survive Session Termination, Silently Influencing Future ExecutionsGitInject: Multi-University Research Confirms All Major AI CI/CD Providers Vulnerable to Prompt Injection — Eleven Named Attack Classes Documented
このトピックの事例 (53)
Eclipse Theia AI Chat — Markdown Image Tags Enable Prompt-Injection-Driven Data Exfiltration (CVE-2026-22551)Eclipse Theia AI Chat — ワークスペースのファイル/ディレクトリ名がAIシステムプロンプトに注入 (CVE-2026-44688)Shai-Hulud/Hades PyPI サプライチェーン ワーム、AI/ML パッケージを標的に LLM スキャナー回避および認証情報削除デーモンを搭載LiteLLM 低権限 → 管理者 → RCE 権限昇格チェーン (CVSS 9.9, Obsidian Security)CISA + G7 Joint Guidance: "Software Bill of Materials for AI – Minimum Elements"Varonis SearchLeak (CVE-2026-42824) — Microsoft 365 Copilot Enterprise Search におけるワンクリックデータ流出チェーン、パッチ済みOpenClaw Zalo allowFrom ポリシーバイパス via Mutable Contact Display Metadata (CVE-2026-53857)TrueFoundry AI Gateway — Lasso Security Integration for Centralized GenAI ProtectionSpring AI ベクトルストア — 特殊文字インジェクションにより Elasticsearch、OpenSearch、GemFire で任意のクエリ実行が可能Shai-Hulud/Hades キャンペーン: PyPI サプライチェーン ワームが AI スキャナー回避プロンプトと AI コーディングエージェント設定のバックドアを注入LangGraph RCE Chain: SQL Injection + msgpack Deserialization in Stateful Agent Checkpointer (CVE-2025-67644 + CVE-2026-28277)GoogleがWebMCP Agent セキュリティガイダンスを公開 — 悪意あるマニフェストと汚染されたツール出力が主要な攻撃ベクトルとして、決定論的および確率論的な対策とともに提示Anthropic、Claude Fable 5およびMythos 5システムカードを公開 — 詳細なサイバー機能評価、デュアル構成セーフティアーキテクチャ、およびエージェントプロンプトインジェクションベンチマーク結果CSA / Adversa AI AIRQ Report: 本番環境のAIエージェントの98%が致命的な三位一体を抱えており、わずか11%しか適切に防御されていないMiasma Wormが AI コーディングエージェントハイジャックにエスカレート — SessionStart フックペイロード注入後、Microsoft GitHub リポジトリ 73 個が無効化CSA Labs: AI Agent Lethal Trifecta — 本番環境エージェントの98%が、機密データアクセス、信頼できない入力、アウトバウンドアクション機能を同時に備えているMicrosoft Security Blog: CI/CD権限バイパスの脆弱性(Claude Code GitHub Actionsで発見)がサプライチェーン侵害を可能に — 修復ガイダンスを公開OpenAI、ChatGPT ロックダウンモードをリリース — プロンプトインジェクション データ流出に対する初の組み込み本番制御マイクロソフトセキュリティリサーチ:エージェンティックAI脅威に対するCI/CDパイプラインの保護 — Claude Code GitHubアクション事例研究Noma、エージェント向けアクセス制御を発表 — AI エージェントおよび MCP サーバー向けの動的レジストリ、アイデンティティ、ポリシー実装CVE-2026-42074 (CVSS 9.3): OpenClaude Coding-Agent CLI — LLMが公開されたスキーマパラメータを経由して独自のサンドボックスを無効化可能OWASP Agent Memory Guard リリース — エージェントメモリ毒性攻撃(ASI06)向けのオープンソースランタイムディフェンスMicrosoftが MXC を発表 — AI エージェント向けの OS レベルカーネル強制サンドボックス、OpenAI と Nvidia がローンチパートナーCyberhaven、ツール汚染、間接的プロンプトインジェクション、シャドウMCPを主要リスクカテゴリとするエンタープライズMCPセキュリティガイドを発行Palo Alto Networks、Portkey買収を完了し、Prisma AIRS AIゲートウェイをエージェンティック制御プレーンとして立ち上げarXiv: 「植え付け、持続、トリガー」— スリーパー攻撃研究が相互作用エージェント メモリ ポイズニングを個別の脅威クラスとして形式化LangChain逆シリアライゼーション脆弱性により、過度に広いオブジェクト許可リストを経由したリモートコード実行が可能 — CVE-2026-44843 (CVSS 8.2)CVE-2026-41863: LLM生成ファイル名がSpring AI Anthropic Skills APIでPath.resolveに到達してからファイル書き込みが発生 — エージェンティック・ワークフローのパストラバーサルSingapore Government AI Agents Sandbox: 間接的なプロンプトインジェクションによるRCE実現が最大の本番環境エージェント攻撃ベクトルとして確認シンガポール政府–Google AI エージェント・サンドボックス:本番環境のエージェント展開における主要なサイバーセキュリティリスクとして間接的プロンプトインジェクションが特定RAMPARTとClarityの紹介:エージェント開発ワークフローに安全性をもたらすオープンソースツールAnthropic、Claude Code サンドボックスバイパスを静かにパッチ;5ヶ月間で2番目のバイパス、CVE発行なしCVE-2026-45244: ブラウザ拡張機能の認可欠落によるエージェント型オートメーション侵害の概要WARD Guard Model は、プロンプトインジェクション攻撃からWebエージェントを防御する、ほぼ完璧なリコールを備えていますAI脅威が新興市場の攻撃面を拡大——シグネチャ検出を超えた新しい攻撃ベクトルLyrie.aiがAgent Trust Protocol (ATP)をリリース—AI Agent暗号検証の初のオープンスタンダードHeimdallr フレームワークが GitHub CI ワークフローにおける LLM 誘発セキュリティリスクを検出Cobalt Pentesting Report: AI Systems Show 2.5x Higher Severe-Flaw Density Than Legacy AppsGemini CLI間接プロンプトインジェクション - サプライチェーン侵害を実現可能に (CVSS 10.0)NanoClaw コンテナエージェント ファイルシステム境界脆弱性がホスト読み書きを可能にCISA と国際パートナーが安全なエージェンティック AI デプロイメントに関する共同勧告を発表Model Context Protocol STDIO トランスポートにおけるシステム的コマンド実行欠陥が200,000のAIエージェントサーバーに影響Forcepoint、AIエージェントを標的とした10個の野生型間接プロンプトインジェクションペイロードを公開OpenAIがPII検出と編集のためのプライバシーフィルターモデルをリリースGoogle Antigravity AI Agent Manager Sandbox Escape Vulnerability「コメント・アンド・コントロール」:GitHubコメント経由のプロンプトインジェクションがClaude Code、Gemini CLI、およびGitHub Copilotを侵害ShareLeak / PipeLeak: パッチが適用されたMicrosoft Copilot StudioとSalesforce Agentforceは依然としてプロンプトインジェクション経由でデータを流出させているPrompt Injection: OWASP #1 LLM Risk は 2026 年も急速に増加し続けているGoogle DeepMindが、ウェブベースのAIエージェント トラップの6つのカテゴリをマッピングGoogle DeepMind が「AI Agent Traps」タクソノミーを公開:自律型エージェントに対する6つの攻撃カテゴリNIST AI Agent Standards Initiative Begins April Listening SessionsCISレポート: プロンプトインジェクション — 生成型AIへの本質的脅威MCP Protocol Tool Poisoning via Malicious Server Registration
参考資料
OWASP Top 10 for LLM Applications — LLM01: Prompt InjectionNIST CSRC Glossary: Prompt Injection
ライブフィードで追跡 この概念が実際のAIセキュリティ・ガバナンスの動向でどう現れるかを確認。
フィードを開く →