プロンプトインジェクションが仕掛けられうるあらゆる手口を把握しておくことは、セキュリティチームが新世代の攻撃を見抜く助けとなります。
セキュリティ企業のCrowdStrikeは、企業にリスクをもたらしかねない5種類の新たなプロンプトインジェクション手法を特定しました。プロンプトインジェクション攻撃は、組織内でのAI利用拡大に付け込むものです。この攻撃は、人間のオペレーターであれば怪しいと見抜けるような指示をLLMに受け入れさせることで成立します。
CrowdStrikeがプロンプトインジェクションの分類体系に新たに追加した5種類の攻撃は以下の通りです。
トリガー起動型ルール追加(Trigger-Activated Rule Addition)攻撃者が一見無害に見える新たなルールを追加し、後から発動させることでモデル内に異常な挙動を引き起こす手法です。
認知トークン抑制(Cognitive Token Suppression)は、モデルの言語選択を既存の拒否パターンから逸脱させることで、組み込みの安全対策を回避する手法です。
アルゴリズム型ペイロード分割(Algorithmic Payload Decomposition)は、メッセージを複数の段階に分けて送信する手法です。各段階は一見無害に見えますが、それらを組み合わせると、より脅威性の高い単一のコマンドとして再構成されます。
特殊トークンインジェクション(Special Token Injection)は、通常の指示の中に偽の「制御スイッチ」を埋め込む手口にたとえられる攻撃です。攻撃者は混乱を引き起こし、信頼できないユーザーコンテンツを優先度の高いシステム指示であるかのようにモデルに誤認させようとします。
意図せぬユーザーコンテキストデータインジェクション(Unwitting User Context-Data Injection)は、信頼できるデータと実行可能な指示との境界を突く手口で、ユーザー自身に悪意ある指示をLLMのコンテキストデータの一部として持ち込ませてしまう攻撃です。 プロンプト自体は無害な場合があります。悪意ある指示は、周囲のコンテキストデータの中に隠されているのです。この攻撃は、ユーザーが文書をアップロードしたり、メールを転送したり、後にAIによって処理されるコンテンツを追加したりする際に成立します。
CrowdStrikeによると、セキュリティチームはこうした攻撃に対し、モデルのコンテキストが生じうるあらゆる箇所を対象とした脅威モデリングの実施、テストの拡充、複合攻撃を含めた検知エンジニアリングの拡張など、複数の方法で防御を固めることができるとしています。