CrowdStrike、AIエージェントを狙う新たなプロンプトインジェクション手法を5種類発見

プロンプトインジェクションは、AI時代を象徴するセキュリティ課題の一つとして浮上しています。組織がシンプルなチャットボットから自律型AIエージェントへと移行する中、攻撃者はこうしたシステムが本質的に信頼してしまう言語、コンテキスト、データを悪用する新たな手口を次々と編み出しています。

CrowdStrikeのAIセキュリティ研究チームは、業界最大規模となるプロンプトインジェクション手法の分類体系を維持管理しています。

同社は今回、18種類の新たな手法を追加したと発表しました。これにより対応する手法は200種類を超え、実際のAI運用環境でこうした攻撃がどのように進化しているかを反映する内容となっています。

AIエージェントがウェブページのクロール、ファイルストアへのアクセス、シェルコマンドの実行といった能力を持つようになるにつれ、リスクはさらに深刻化しています。

間接的プロンプトインジェクションは、重大な脅威ベクトルとして台頭してきました。攻撃者はエージェントが取り込むデータの中に悪意ある指示を隠し、エージェントの能力を乗っ取ってさらなる被害を引き起こすことができます。

CrowdStrikeが指摘しているように、プロンプトインジェクションはあからさまな脱獄(ジェイルブレイク)の試みをはるかに超えた段階に進んでいます。攻撃者は今や、隠れたコンテキスト、遅延トリガー、意味的制約、境界の偽装、エンコードされたペイロードを悪用しており、防御側にはいくつかの実践的な優先課題が生じています。

脅威モデリングは、プロンプト、ファイル、RAGパイプライン、エージェントメモリ、API、ツール出力、ブラウザコンテンツ、SaaSデータなど、あらゆる可能なコンテキストソースを網羅する形へと拡張する必要があります。

レッドチーム演習についても、「これまでの指示は無視してください」といった単純なテストにとどまらず、境界の模倣、間接的インジェクション、遅延起動といったシナリオを含む形へと進化させる必要があります。

実際のインシデントでは複数の手法が同時に組み合わされることが多いため、検知エンジニアリングは複合攻撃を考慮に入れる必要があります。単純に「プロンプトインジェクション」というラベルを付けるだけでは、攻撃チェーン全体を把握するには不十分です。

最後に、AIセキュリティプログラムには、プロンプトと応答に対するランタイムの可視性が必要です。これにより、誰がAIを利用しているのか、どのようなデータがやり取りされているのか、そして安全でない指示が含まれていないかを把握できます。

CrowdStrikeのFalcon AI Detection and Response(AIDR)は、統合された可視性、リアルタイムの脅威検知、そしてエンドポイント、エージェント、MCPサーバー、クラウド環境全体にわたる自動対応をすべて単一のコンソールで管理できる形で提供し、こうした課題に対応します。

今回更新された分類体系により、セキュリティチーム、開発者、レッドチームは、プロンプトインジェクション攻撃がどのように機能し、検知をすり抜けるのかをより明確に把握できるようになります。各チームはCrowdStrikeの「AI Unlocked: Decoding Prompt Injection」チャレンジで、自らのスキルを試すことができます。

翻訳元: https://cyberpress.org/crowdstrike-5-new-prompt-injection-techniques/

ソース: cyberpress.org