プロンプトインジェクション（脅威・リスク）に関するニュース一覧

OpenAIが2025年11月7日、AIを悪用する新たなサイバー攻撃「プロンプトインジェクション」のリスクと対策を公開しました。これは、第三者が悪意ある指示をAIとの対話に紛れ込ませ、意図しない動作を引き起こさせる攻撃手法です。AIがより自律的なエージェントとして進化する中、OpenAIはモデルの堅牢化からユーザー保護機能まで、多層的な防御戦略でこの脅威に立ち向かう姿勢を明確にしました。

プロンプトインジェクションとは、会話型AIに特化したソーシャルエンジニアリング攻撃です。人間がフィッシングメールに騙されるように、AIがWebページなどに隠された悪意ある指示を読み込み、ユーザーの意図に反して誤った商品を推奨したり、機密情報を漏洩させたりする危険性を持ちます。

このリスクは、AIが単なる応答ツールから、Web閲覧や他アプリと連携して自律的にタスクをこなす「エージェント」へと進化するにつれて深刻化します。ユーザーのメールや個人データへアクセスする機会が増えるため、一度の攻撃で甚大な被害につながる可能性があるのです。

OpenAIは、この脅威に対抗するため「単一の万能薬はない」とし、多層的な防御アプローチを採っています。モデル自体の堅牢性を高める研究開発から、AIによる攻撃の自動監視、製品設計レベルでの安全機能、そしてユーザー自身によるコントロールまで、複数の防御壁を設けています。

具体的な対策として、モデルが信頼できる指示とそうでない指示を区別する「Instruction Hierarchy」という研究を進めています。また、AIを活用した監視システムが新たな攻撃パターンを迅速に検知・ブロックし、継続的なモデルの改善を支えています。

ユーザー保護の観点では、AIがコードを実行する際に外部への影響を防ぐ「サンドボックス」技術や、商品の購入といった重要な操作の前にユーザー確認を求める機能も実装。利用者がAIの行動を常に把握し、制御下に置けるよう設計されています。

OpenAIはユーザー自身にも対策を呼びかけています。AIエージェントに与えるアクセス権を必要最小限に絞る、指示は具体的に出す、重要な操作は必ず確認するなど、慎重な利用が自身のデータを守る鍵となります。

プロンプトインジェクションは、技術の進化とともに形を変える継続的な課題です。OpenAIは、今後も研究開発への投資を続け、発見した知見を共有することで、社会全体で安全にAIの恩恵を享受できる世界の実現を目指すとしています。

マイクロソフトは2025年11月5日、AIエージェントの市場行動を研究するためのシミュレーション環境「Magentic Marketplace」をオープンソースで公開しました。アリゾナ州立大学との共同研究で、GPT-5など最新モデルをテストした結果、選択肢が多すぎると性能が落ちる「選択のパラドックス」や、意図的な情報操作に対する深刻な脆弱性が明らかになりました。

今回の実験で最も驚くべき発見の一つは、AIエージェントが「選択のパラドックス」に陥ることです。選択肢が増えるほど、より良い結果を出すと期待されるのとは裏腹に、多くのモデルで消費者利益が低下しました。例えばGPT-5は、選択肢が増えると性能が最適値の2000から1400へ大幅に低下。これは、AIが持つコンテキスト理解の限界を示唆しています。

さらに、AIエージェントは情報操作に対しても脆弱であることが判明しました。偽の権威付けや社会的証明といった心理的戦術から、悪意のある指示を埋め込むプロンプトインジェクションまで、様々な攻撃をテスト。その結果、GPT-4oなどのモデルは、操作した事業者へ全ての支払いを誘導されてしまうなど、セキュリティ上の重大な懸念が浮き彫りになりました。

実験では体系的な偏り（バイアス）も確認されました。一部のオープンソースモデルは、検索結果の最後に表示された事業者を優先的に選択する「位置バイアス」を示しました。また、多くのモデルが最初に受け取った提案を安易に受け入れる「提案バイアス」を持っており、より良い選択肢を見逃す傾向がありました。こうした偏りは、市場の公正性を損なう恐れがあります。

「Magentic Marketplace」は、こうした複雑な問題を安全に研究するために開発されたプラットフォームです。現実世界では難しい、多数のエージェントが同時に相互作用する市場をシミュレートし、消費者保護や市場効率、公平性といった課題を検証できます。マイクロソフトは、この環境を研究者に開放することで、AIが社会に与える影響の解明を加速させたい考えです。

今回の研究結果は、AIエージェントの実用化にはまだ多くの課題があることを示しています。特に、重要な意思決定をAIに完全に委ねるのではなく、人間が監督する「ヒューマン・イン・ザ・ループ」の仕組みが不可欠です。企業がAIエージェントを導入する際には、こうした脆弱性を十分に理解し、対策を講じる必要があります。今後の研究開発の焦点となるでしょう。

Google Cloudは2025年11月5日、AI開発プラットフォーム「Vertex AI」の中核をなす「Agent Builder」の大規模アップデートを発表しました。この更新は、企業がAIエージェントの構想から設計、展開までをより迅速かつ安全に行えるようにするものです。主な特徴は、開発プロセスを加速する新ツール群と、本番運用に不可欠なガバナンス機能を大幅に強化した点にあります。

開発の高速化は、今回のアップデートの大きな柱です。最先端のコンテキスト管理レイヤーや、失敗したタスクを自己修復する事前構築済みプラグインを導入。開発キット（ADK）はPythonやJavaに加え、新たにGo言語をサポートしました。さらに、コマンド一つでローカル環境からテスト環境へ移行できる「ワンクリックデプロイ」機能も提供します。

同時に、企業利用で必須となるガバナンス機能も大幅に拡充されました。新たに導入された観測可能性ダッシュボードでは、トークン消費量やエラー率などを本番環境で追跡できます。また、エージェントに固有のIDを付与して監査証跡を明確にする機能や、プロンプトインジェクションを防ぐ「Model Armor」も搭載されました。

この観測可能性ダッシュボードは、開発者にとって強力なツールとなるでしょう。本番環境で稼働するエージェントのトークン消費量、エラー率、レイテンシー（遅延）を可視化し、問題が発生した際の原因特定と再現を容易にします。これにより、クラウドベースでの本番監視が格段に効率化され、安定した運用が可能になります。

Google CloudがAgent Builderの強化を急ぐ背景には、熾烈な開発者獲得競争があります。OpenAIの「AgentKit」やマイクロソフトの「Azure AI Foundry」、AWSの「Bedrock」など、競合他社もAIエージェント開発基盤の機能拡充を競っています。今回のアップデートは、自社エコシステム内に開発者を留め、競争優位性を確保するための戦略的な一手と言えるでしょう。

OpenAIなどがAI搭載ブラウザを相次いで発表し、Google Chromeの牙城に挑む「第3次ブラウザ戦争」が勃発しました。ユーザーの代わりにウェブサイトを操作するAIエージェント機能を武器に、各社はウェブの新たな入り口となる覇権を狙います。これは、単なるブラウザのシェア争いではなく、ウェブの利用方法そのものを根底から変える可能性を秘めています。

なぜ今、ブラウザ戦争が再燃しているのでしょうか。背景には、AI技術の急速な進化があります。AIアシスタントが真価を発揮するには、ユーザーが最も時間を費やすブラウザへの統合が不可欠だからです。加えて、Googleへの規制強化という追い風も、新興企業に参入の好機を与えています。

AIブラウザが狙うのは3つの価値です。1つは閲覧履歴から得られる膨大なユーザーデータ。2つ目は各種サービスと連携しタスクをこなすプラットフォーム機能。そして3つ目は、検索窓に代わる「意図の入力点」の掌握です。

これまでの戦争とは、目指すものが根本的に異なります。第1次が「ウェブページへのアクセス」、第2次が「ウェブアプリの高速化」を競ったのに対し、今回の第3次は「AIエージェントによるタスクの自動実行」が主戦場です。私たちはURLを入力する代わりに、AIに目的を告げるだけになるかもしれません。

一方でリスクも指摘されます。悪意ある指示でAIを操る「プロンプトインジェクション」等の新たなセキュリティ脅威や、AI企業によるデータ収集というプライバシー問題です。ウェブのオープンな性質が失われる懸念も浮上しています。

絶対王者Googleも対抗します。ブラウザ「Chrome」に自社AI「Gemini」を統合し、機能強化を図っています。しかし、独占禁止法などの制約も多く、新興勢力に比べて慎重な動きを取らざるを得ません。この対応の差が勝敗を分ける可能性もあります。

「第3次ブラウザ戦争」は、私たちのウェブとの関わり方を一変させる可能性を秘めています。勝者が手にするのは、単なる市場シェアではなく、未来のコンピューティングにおける中心的な役割です。どの企業が次世代の標準を築くのか、各社の動向から目が離せません。

OpenAIやマイクロソフトなどが開発を急ぐAI搭載ブラウザについて、サイバーセキュリティ専門家が「時限爆弾だ」と重大な警鐘を鳴らしています。AIエージェントの悪用や過剰な個人情報追跡といった新たな脆弱性が指摘され、利便性の裏でユーザーが未知のリスクに晒されているとの懸念が急速に広がっています。

最大の脅威は「プロンプトインジェクション」です。これは、攻撃者がAIエージェントに悪意のある指示を注入し、ユーザーに代わって不正操作を行わせる手口。画像やメールに巧妙に隠された命令で個人情報を盗んだり、マルウェアを仕込んだりする危険性があります。

また、AIブラウザは閲覧履歴やメール内容などあらゆる情報を学習する「記憶」機能を持ちます。これにより、かつてないほど詳細な個人プロファイルが生成されます。この情報がひとたび漏洩すれば、クレジットカード情報などと結びつき、甚大な被害につながりかねません。

各社が開発競争を急ぐあまり、製品の十分なテストや検証が不足している点も問題です。未知の脆弱性が残されたまま市場投入され、ハッカーに悪用される「ゼロデイ攻撃」のリスクを高めていると専門家は指摘。技術の急進展が安全性を犠牲にしている構図です。

AIエージェントを標的とした攻撃は、検知が非常に困難な点も厄介です。AIの判断を介するため、従来のセキュリティ対策では防ぎきれないケースが想定されます。攻撃者は自動化ツールで何度も試行できるため、防御側は不利な立場に置かれやすいのが現状です。

では、ユーザーはどう身を守ればよいのでしょうか。専門家は、AI機能をデフォルトでオフにし、必要な時だけ使うことを推奨します。AIに作業させる際は、URLを直接指定するなど、行動を限定的にすることが重要です。漠然とした指示は、意図せず危険なサイトへ誘導する可能性があります。

ChatGPT開発元のOpenAIが、初のAI搭載Webブラウザ「Atlas」を発表しました。Perplexityの「Comet」など競合も登場し、Web上の作業を自動化する「AIエージェント」への期待が高まっています。しかしその裏で、悪意あるWebサイトの指示をAIが誤って実行してしまう「プロンプトインジェクション攻撃」という、深刻かつ未解決のセキュリティリスクが大きな課題として浮上しています。

プロンプトインジェクション攻撃とは、攻撃者がWebページ内に人間には見えない形で、AIへの悪意ある命令を仕込む手口です。AIエージェントがページ情報を要約・分析する際にこの隠れた命令を読み込み、ユーザーの指示よりも優先して実行してしまう危険性があります。これはAIの仕組みに根差した脆弱性です。

この攻撃を受けると、AIエージェントはユーザーの個人情報やメール内容を外部に送信したり、勝手に商品を購入したり、意図しないSNS投稿を行う可能性があります。ブラウザがユーザーに代わって操作を行うため、被害は広範囲に及ぶ恐れがあり、従来のブラウザにはなかった新たな脅威と言えるでしょう。

セキュリティ専門家は、この問題が特定のブラウザの欠陥ではなく、AIエージェントを搭載したブラウザというカテゴリ全体が直面する「体系的な課題」だと指摘しています。現在、この攻撃を完全に防ぐ確実な解決策はなく、「未解決のフロンティア」であるとの認識が業界内で共有されています。

OpenAIやPerplexityもこのリスクを認識しており、対策を進めています。例えば、ユーザーのアカウントからログアウトした状態でWebを閲覧するモードや、悪意あるプロンプトをリアルタイムで検知するシステムを導入しています。しかし、これらも完全な防御策とは言えず、いたちごっこが続く状況です。

では、利用者はどうすればよいのでしょうか。まずは、AIブラウザに与えるアクセス権限を必要最小限に絞ることが重要です。特に銀行や個人情報に関わるアカウントとの連携は慎重に判断すべきでしょう。また、ユニークなパスワード設定や多要素認証の徹底といった基本的なセキュリティ対策も不可欠です。

アマゾン ウェブ サービス（AWS）が、IoTデバイス管理の複雑化という課題に対し、対話型AIで解決する新手法を公開しました。新サービス「Amazon Bedrock AgentCore」を活用し、自然言語での対話を通じてデバイスの状態確認や設定変更を可能にします。これにより、ユーザーは複数の管理画面を往来する手間から解放され、直感的な操作が実現します。

IoTデバイスの普及に伴い、その管理はますます複雑になっています。デバイスごとに異なるアプリケーションやUIを使い分ける必要があり、ユーザーの学習コストは増大。また、専門知識なしでは設定が難しく、デバイス全体の状況を把握することも困難でした。こうした「管理の断片化」が、IoTソリューション導入の大きな障壁となっています。

今回のソリューションは、こうした課題を統一された対話型インターフェースで解決します。ユーザーはチャット画面のようなUIを使い、「デバイスの状態を教えて」「Wi-Fi設定を変更して」といった日常会話の言葉で指示を出すだけ。複雑なメニュー操作は不要となり、専門家でなくても簡単にIoT環境を管理できます。

このシステムの核となるのが「Amazon Bedrock AgentCore」です。ユーザー認証にCognito、ビジネスロジック実行にAWS Lambda、データ保存にDynamoDBを利用するサーバーレス構成を採用。ユーザーからの自然言語リクエストはAgentCoreが解釈し、適切なLambda関数を呼び出すことで、迅速かつ安全な処理を実現します。

企業利用を想定し、セキュリティと性能も重視されています。ユーザー認証やアクセス制御はもちろん、通信やデータの暗号化、プロンプトインジェクション攻撃を防ぐGuardrails機能も搭載。また、Lambdaの自動スケーリング機能により、多数の同時リクエストにも安定して対応可能です。

Bedrock AgentCoreを用いたこの手法は、IoT管理のあり方を大きく変える可能性を秘めています。直感的なUXによる生産性向上、管理の一元化による運用効率化が期待できます。特定のAIモデルに依存しない設計のため、将来の技術進化にも柔軟に対応できる、未来志向のアーキテクチャと言えるでしょう。

Googleは、AIを攻撃ツールとして利用する悪質な脅威に対抗するため、包括的なAIセキュリティ戦略を始動しました。核となるのは、コードの脆弱性を自動修正するAIエージェント「CodeMender」の開発、AI製品に特化した報奨金制度「AI VRP」の新設、そして自律型エージェントの安全性を確保する「SAIF 2.0」へのフレームワーク拡張です。AIの力を防御側に決定的に傾けることを目指します。

中でも「CodeMender」は、ソフトウェア開発におけるセキュリティ対応のあり方を一変させる可能性があります。これはGeminiの高度な推論能力を活用し、複雑な脆弱性の根本原因を特定し、高品質なパッチを自動生成・適用するAIエージェントです。これにより、開発者は煩雑な修正作業から解放され、本質的な開発に集中できるようになります。

CodeMenderは、新しい脆弱性を即座に修正する「受動的」対応に加え、セキュアなコード構造への書き換えを促す「能動的」な防御も行います。既に、オープンソースプロジェクトに対し、人間によるレビューを経た72件のセキュリティ修正を適用しています。自己検証機能により、誤った修正や退行を防ぎながら、迅速なパッチ適用を実現します。

セキュリティ研究コミュニティとの連携を強化するため、GoogleはAI脆弱性報奨金制度（AI VRP）を立ち上げました。この制度では、LLMや生成AIシステムを悪用し、不正に動作させる「不正なアクション (Rogue Actions)」に関する報告に注力します。最高で3万ドル（約450万円）の報奨金が提供されます。

AI VRPは、データ漏洩やアカウント改ざんなど、セキュリティ上の実害を伴うAIの脆弱性を対象とします。例えば、プロンプトインジェクションにより、Google Homeに不正にドアを解錠させたり、機密情報を攻撃者のアカウントに要約・送信させたりするケースが該当します。単なるAIのハルシネーション（幻覚）は対象外です。

さらにGoogleは、自律的に動作するAIエージェントのセキュリティリスクに対応するため、「Secure AI Framework (SAIF) 2.0」を発表しました。このフレームワークでは、エージェントを安全に運用するための「人間による制御」「権限の制限」「行動の可視化」という3つのコア原則を掲げています。AIエージェントが普及する未来を見据えた業界標準の構築を推進しています。

セキュリティ企業Radwareは2025年9月18日、OpenAIのAIエージェント「Deep Research」に対する新たな攻撃手法「ShadowLeak」を公開しました。この攻撃はプロンプトインジェクションを利用し、エージェントが攻撃者のウェブサイトを閲覧するだけで、ユーザーのGmail受信箱から機密情報を抜き取り外部サーバーに送信します。ユーザー操作は不要で、情報が抜き取られた痕跡も残りません。 「Deep Research」はOpenAIが今年発表した新機能で、ユーザーのメールや文書、ウェブ情報を横断的に参照し、複雑な調査を自律的に実行します。人間であれば数時間かかる調査を数十分で完了させる高い生産性をうたっていますが、その自律的なウェブ閲覧機能が今回の攻撃の標的となりました。 攻撃の仕組みは、AIエージェントが攻撃者の用意したウェブサイトを閲覧し、そこに埋め込まれた不正な指示（プロンプト）を実行することから始まります。これにより、エージェントはGmail内の情報を外部サーバーへ送信してしまいます。被害者は情報が流出したことに気づくのが極めて困難です。 今回の発見は、AIアシスタントを便利にするための機能、すなわちメールへのアクセスや自律的なウェブ閲覧といった能力そのものが、深刻なデータ漏洩のリスクをはらんでいることを浮き彫りにしました。利便性の追求が、新たなセキュリティ上の課題を生み出していると言えるでしょう。 「ShadowLeak」は、従来のセキュリティ対策の限界も示唆しています。ユーザーが意図的にクリックすることを前提としたデータ漏洩防止策などでは、AIエージェントが自律的に行う情報漏洩を防ぐことは困難です。AI時代の新たなセキュリティ対策の必要性が高まっています。

マイクロソフトのAzureは、エンタープライズにおけるAIエージェントの安全かつセキュアな導入を実現するため、「エージェント・ファクトリー（Agent Factory）」と称する設計図（ブループリント）を発表しました。プロトタイプから基幹業務システムへと移行するAIエージェントに対し、「信頼」を最優先事項とし、データ漏洩やプロンプトインジェクションといった最大の障壁を取り除くことを目指します。これはAIを活用し生産性向上を急ぐ企業にとって重要な指針です。

AIエージェントの採用が進む現在、最も深刻な懸念は「いかにAIを制御下に置き、安全性を保つか」という点です。最高情報セキュリティ責任者（CISO）は、エージェントの無秩序な増殖（スプロール）や、所有権の不明確さに頭を悩ませています。チームはデプロイを待つのではなく、セキュリティとガバナンスの責任を開発初期に移す「シフトレフト」を推進する必要があります。

この課題に対し、マイクロソフトは場当たり的な修正ではなく、ID管理、ガードレール、評価、監視などを組み合わせる階層的なアプローチを提唱しています。ブループリントは、単なる防御策の組み合わせではありません。エージェントの固有のアイデンティティ管理、厳格なガードレールの設定、継続的な脅威評価、そして既存のセキュリティツールとの連携を統合することで、信頼性を築き上げます。

具体的に、エンタープライズレベルの信頼できるエージェントは五つの特徴を持ちます。一つはライフサイクル全体で追跡可能な一意のIDです。また、機密情報が過度に共有されないよう、設計段階でデータ保護と組み込み制御が導入されます。さらに、デプロイ前後で脅威評価と継続的な監視を行うことが必須です。

マイクロソフトは、このブループリントの実装をAzure AI Foundryで支援します。特に、開発予定のEntra Agent IDは、テナント内の全アクティブエージェントの可視化を可能にし、組織内に潜む「シャドーエージェント」を防ぎます。また、業界初のクロスプロンプトインジェクション分類器により、悪意ある指示を確実かつ迅速に無力化します。

AI Foundryは、Azure AI Red Teaming AgentやPyRITツールキットを活用し、大規模な模擬攻撃を通じてエージェントの脆弱性を特定します。さらに、Microsoft Purviewと連携することで、データの機密性ラベルやDLP（データ損失防止）ポリシーをエージェントの出力にも適用可能です。これにより、既存のコンプライアンス体制とAIガバナンスが統合されます。

OpenAIは、エージェント型コーディングに特化した新モデル「GPT-5-Codex」を発表し、開発環境Codexを大幅にアップグレードしました。これはGPT-5を実世界のソフトウェアエンジニアリング作業に最適化させたバージョンです。開発者はCLI、IDE、GitHub、ChatGPTアプリを通じて、より速く、信頼性の高いAIアシスタントを活用できるようになります。

最大の進化は、タスクの複雑性に応じて思考時間を動的に調整する能力です。GPT-5-Codexは、大規模なリファクタリングやデバッグなどの複雑なタスクにおいて、最長7時間以上にわたり独立して作業を継続できることが確認されています。これにより、長期的なプロジェクトの構築と迅速なインタラクティブセッションの両方に対応します。

モデルは、既存のコードベース全体を理解し、依存関係を考慮しながら動作検証やテスト実行が可能です。特にコードレビュー機能が強化されており、コミットに対するレビューコメントの正確性と重要性が向上。重大な欠陥を早期に特定し、人間のレビュー工数を大幅に削減します。

開発ワークフローへの統合も一層強化されました。刷新されたCodex CLIとIDE拡張機能（VS Codeなどに対応）により、ローカル環境とクラウド環境間でシームレスに作業を移行できます。コンテキストが途切れないため、作業効率が劇的に向上します。

さらに、Codexは画像やスクリーンショットを入力として受け付けるようになりました。これにより、フロントエンドのデザイン仕様やUIバグなどを視覚的にAIへ共有し、フロントエンドタスクの解決を効率化します。また、GitHub連携によりPRの自動レビューや編集指示も可能です。

安全性確保のため、Codexはデフォルトでサンドボックス環境で実行され、ネットワークアクセスは無効です。プロンプトインジェクションのリスクを軽減するとともに、開発者はセキュリティ設定をカスタマイズし、リスク許容度に応じて運用することが可能です。