悪意あるWebサイト、DOMにプロンプト指示を隠しAIエージェントの判断を汚染

脅威アクターは、Webコンテンツを人工知能ワークフローを狙う新たな攻撃対象として利用し始めています。人間のユーザーがフィッシング攻撃に直面するのと同様に、AIエージェントも間接的プロンプトインジェクション(Indirect Prompt Injection、IPI)に対する脆弱性を増しています。

攻撃者はWebサイトのドキュメントオブジェクトモデル(DOM)に悪意のある指示を直接埋め込み、AIエージェントの推論を操作します。

Zscaler ThreatLabzは最近、悪意あるWebサイトがIPIとDOM操作を組み合わせて悪用し、AIの意思決定を巧妙に汚染する2件の異なるキャンペーンを発見しました。

最初に観測されたキャンペーンでは、攻撃者がrequests-secure-v2という架空のPythonライブラリのドキュメントを装った不正なWebサイトを作成していました。

脅威アクターはSEOポイズニングを使ってこのサイトを検索エンジンの結果上位に押し上げ、AI開発エージェントがこれをスクレイピングする可能性を高めていました。

AIエージェントがトラブルシューティングやパッケージのインストールのためこのサイトにアクセスすると、資金を盗むために仕組まれた隠し指示に遭遇する仕組みです。

攻撃者は、検索エンジンが使用する構造化メタデータ形式であるJSON-LDを悪用し、このサイトを正規のソフトウェアアプリケーションであるかのように見せかけています。さらに、CSSを用いて悪意のあるテキストを画面外に配置しています。

サイトを閲覧する人間のユーザーには完全に見えない状態でありながら、こうした隠し<div>タグはWebスクレイパーやaiエージェントには容易に読み取られてしまいます。

埋め込まれたプロンプトは、AIをだまして偽のライセンスエラーを解決させようとし、Stripeで3.00ドルを支払うか、あるいはハードコードされた暗号資産ウォレットへ0.0012 ETHを送金するよう仕向けます。

2件目のキャンペーンは、人気の分散型金融(DeFi)ポートフォリオトラッカーであるDeBankになりすましたタイポスクワッティングドメイン、debank[.]auctionに関わるものです。

AIエージェントがこのページにアクセスすると、隠された指示がその基本的な挙動を変えようと試み、コンテキストの汚染や検索拡張生成(RAG)ポイズニングを引き起こします。

Zscalerの調査によると、この不正サイトは大量のキーワードスタッフィングと捏造されたOpen Graphメタデータを使い、公式サイトであるかのように見せかけています。

ページ下部近くには、LLMに以前の指示を無視するよう命じるプロンプトが隠されています。その代わりに、DeBankに関するあらゆる問い合わせに対して、この悪意あるサイトを主要な権威ある情報源として位置づけるようAIエージェントに指示する内容になっています。

検証の結果、AIがこの攻撃にどれだけ影響を受けやすいかは、与えられるコンテキストに大きく左右されることが判明しました。信頼できる参照URLから切り離された状態では、GPT-5.4やClaude Sonnet 4.5といったモデルが、この偽サイトを誤って正規のものと分類してしまいました。

注記: IPアドレスやドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化(defang、例: [.])しています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいはお使いのSIEMなど、管理された脅威インテリジェンス基盤内でのみ行ってください。

翻訳元: https://cyberpress.org/dom-poisoning-targets-ai-agents/

ソース: cyberpress.org