- IBMのGenAIツール「Bob」は、ベータテスト中に間接プロンプトインジェクション攻撃の脆弱性がある
- CLIはプロンプトインジェクションのリスクに直面、IDEはAI特有のデータ流出ベクトルにさらされる
- 悪用には「常に許可」の権限が必要で、任意のシェルスクリプトやマルウェアの展開が可能になる
IBMの生成AI(GenAI)ツール「Bob」は、他の同種ツールの多くと同様に、危険な攻撃ベクトルである間接プロンプトインジェクションの影響を受けやすい。
間接プロンプトインジェクションとは、AIツールがメールやカレンダーなど、他のアプリにある内容を読み取れるよう許可されている場合に起こるものだ。
その後、悪意ある攻撃者は一見無害に見えるメールやカレンダーの予定を送信でき、その中にはツールにデータの持ち出し、マルウェアのダウンロードと実行、永続化の確立といった悪事を行うよう指示する隠しプロンプトが含まれている。
危険な権限
最近、セキュリティ研究者グループのPrompt Armorは新たなレポートを公開し、現在ベータ版のIBMのコーディングエージェントは、CLI(ターミナルベースのコーディングエージェント)またはIDE(AI搭載エディタ)を通じて利用できると述べた。CLIはプロンプトインジェクションに脆弱である一方、IDEは「既知のAI特有のデータ流出ベクトル」に脆弱だという。
「本格リリース前にこのシステムを使用することの深刻なリスクをユーザーに周知するため、私たちはこの研究を公に開示することを選択しました」と彼らは述べた。「IBM Bobの一般提供(GA)リリースに向けて、これらのリスクを是正するためのさらなる保護策が講じられることを期待しています。」
ただし、ここには大きな注意点がある。攻撃者がこの攻撃ベクトルを悪用するには、ユーザーがまずBobに広範な権限を付与するよう設定している必要がある。具体的には、あらゆるコマンドに対して「常に許可」の権限を有効にしなければならない。
これは、セキュリティ意識が最も低いユーザーであっても、かなり無理がある。ツールはまだベータ版のため、その権限がデフォルトで有効かどうかは分からないが、有効にはならないだろう。
いずれにせよ、Prompt Armorによれば、この脆弱性により脅威アクターは被害者に任意のシェルスクリプトのペイロードを送り込むことができ、既知およびカスタムのマルウェア亜種を利用して、ランサムウェア、認証情報の窃取、スパイウェア、デバイスの乗っ取り、ボットネットへの取り込みなど、さまざまなサイバー攻撃を実行できるという。
