AIによる自動攻撃を「コンテキスト爆弾」で妨害できることが判明

Tracebitの研究者らが試した新しいアプローチは、AIエージェントが対象環境を完全に侵害するのを阻止するうえで、非常に効果的であることが実証されました。

注目すべきなのはその手法自体ではありません。プロンプトインジェクションは既知の話です。むしろ注目すべきは、その使い方の方向性です。AIエージェントを乗っ取るためではなく、AIエージェントから防御するために使われている点が重要なのです。

Image

コンテキスト爆弾を仕込んだカナリア

Tracebitは顧客向けに、さまざまなカナリア(おとりのリソースや認証情報)を提供しています。これらは攻撃者に狙われた際、攻撃の早期警告となるものです。

侵入検知の警報が鳴った後、対応するのは防御側の役目です。しかし自律型・準自律型のAIエージェントが攻撃の速度を加速させる中、防御側が反応して攻撃を止めるまでの時間はますます短くなっています。

この事実を受けて、同社の研究者らは新しいアプローチの検証に乗り出しました。これは、プロンプトインジェクションを使ってAI搭載の解析ツールにマルウェアの検体を無害だと誤認させる、マルウェア作成者の手口から着想を得たものです。

研究者らは「コンテキスト爆弾」を仕込んだ新しいカナリアを作成しました。これは、攻撃側のAIエージェントの安全ガードレールを発動させるように設計された短いテキストです。そして、Anthropic社のOpus 4.8、Google社のGemini 3.1 Pro、Zhipu AI社のGLM 5.2、DeepSeek社のDeepSeek 4 Pro、Moonshot AI社のKimi K2.6が動かすエージェントに対してこれを試しました。

各エージェントには、10通りの異なる攻撃経路を許してしまう設定不備を持つ、企業の本番AWS環境を模した環境を調査するよう指示されました。これらの経路は、深刻度の異なるさまざまな結果、すなわち管理者権限の取得と永続化、コード実行、データ持ち出し、横方向移動、対象を絞ったアクセス、偵察行為につながる可能性があります。

「私たちは、カナリアを一切含まないベースライン環境と、コンテキスト爆弾を仕込んだカナリアを含む『爆弾入り』環境の両方で、モデルの挙動を検証しました」と研究者らは説明しています。

研究者らはAIエージェントに両方の環境で合計152回の実行を行わせ、その結果は印象的なものでした。主要な5つのモデルすべてにおいて、カナリアの秘密情報にコンテキスト爆弾を1つ仕込むだけで、目的達成能力に大きな影響が出たのです。

最も顕著だったのはOpus 4.8のケースです。クリーンな環境での実行では93%の確率で完全な管理者権限の奪取に成功していましたが、コンテキスト爆弾が仕込まれると一度も成功しませんでした。Gemini 3.1 Proはベースライン環境で60%のケースにおいて完全な管理者権限と永続的な足場の両方を獲得していましたが、爆弾入り環境では同様の結果を達成できませんでした。

「Kimiは検証対象モデルの中で管理者権限の取得に最も成功率が低いモデルでしたが、同時にコンテキスト爆弾による影響も最も小さいモデルでした(とはいえ、それでもかなり効果的ではありましたが)」と研究者らは明らかにしています

さらに研究者らは、ベースライン環境で作業した場合、エージェントは91%のケースで少なくとも1つの攻撃経路を達成できたのに対し、爆弾入り環境ではわずか15%のケースにとどまったことも指摘しています。ただし、いずれのケースでもカナリアのアラートは確実に発報されたとのことです。

研究者らはまた、今回の検証の限界についても言及しています。

今回の検証は、OpenRouterのようなプロバイダーを通じて広く利用可能な、高性能なモデルファミリーに焦点を当てたものです。組み込みの安全ガードレールを取り除いた「アブリテレーション(abliterated)」モデルの挙動についてはまだ測定していません。そのため、こうしたモデルが攻撃的なサイバー任務においてどの程度の能力を持つのか、そしてそもそもコンテキスト爆弾がこれらに対して効果を発揮するのかどうかは、未解明のままです。

欠陥を逆手に取る

セキュリティ研究者の間で有力な見方は、プロンプトインジェクションは防ぎきれないというものです。

英国の国家サイバーセキュリティセンター(NCSC)は2025年12月、LLMがデータと命令の間に本質的な境界線を引けない以上、プロンプトインジェクションはSQLインジェクションのように適切に緩和できる日は来ないかもしれないと警告しました。防御側にできる最善のことは、その発生可能性や影響を軽減することだけだというのです。

プロンプトインジェクションとLLM攻撃の研究で知られるセキュリティ研究者のJohann Rehberger氏も、最近次のように指摘しています。「信頼できないデータを取り込み、それをLLMへのクエリに含めるように設計されたシステムである以上、その信頼できないデータは出力に影響を及ぼしてしまいます」。

しかし、攻撃者がAIエージェントを自分たちの環境に向けてくるのであれば、そしてそれらのエージェントを注入された命令に対して確実に「免疫」を持たせることができないのであれば、話は変わってきます。Tracebitは巧妙にも、プロンプトインジェクションを逆手に取って防御側のために活用する方法を実験するという道を選んだのです。

研究者は「まったく容認できない」ようなコンテキスト爆弾を使いたくはなく、またサイバー関連の内容を使うことも避けたいと考えていました。

最終的に、欧米のモデルは機密性の高い、あるいは危険な生物学的トピックに言及する文字列を突きつけられると確実に停止することが分かりました。一方、中国のプロバイダー経由でアクセスした中国製モデルは、中国国内で政治的に機微なトピックに言及する文字列を(しかも中国語で)突きつけられた場合に停止しました。

「多くのケースにおいて、こうした機微なトピックを標準的なプロンプトインジェクション手法(緊急性の演出、エージェント宛のメモ、区切り文字の使用など)と組み合わせることで、実際の環境でコンテキスト爆弾が発見された際の効果を高められることが分かりました」と研究者らは述べています。

翻訳元: https://www.helpnetsecurity.com/2026/07/14/context-bombs-for-defensive-prompt-injection/

ソース: helpnetsecurity.com