Microsoft、Google、OpenAIなどの大手企業が提供する最も広く利用されているAIエージェントやアシスタントの一部が、ほとんど、あるいは全くユーザーの操作を必要とせずにハイジャックされる可能性があることが、Zenity Labsの新たな研究によって明らかになりました。
Black Hat USAサイバーセキュリティカンファレンスでのプレゼンテーションで、Zenityの研究者たちは、ハッカーがデータを流出させたり、標的組織内の重要なワークフローを操作したり、場合によってはユーザーになりすますことさえできる方法を示しました。
これらのエージェントに侵入するだけでなく、研究者たちは、攻撃者がメモリ永続性を獲得し、長期間にわたってアクセスや制御を維持できる可能性があるとも述べました。
「攻撃者は指示を操作したり、知識ソースを汚染したり、エージェントの挙動を完全に変えることができます」とZenity LabsのプロダクトマーケティングマネージャーであるGreg Zemlin氏はCybersecurity Diveに語りました。「これは破壊工作や業務の混乱、長期的な誤情報の拡散につながる可能性があり、特にエージェントが重要な意思決定を行ったりサポートしたりする環境では深刻です。」
研究者たちは、複数の人気AIエージェントにおける脆弱性を実演しました:
- OpenAIのChatGPTは、メールベースのプロンプトインジェクションによって、接続されたGoogle Driveアカウントへのアクセスを許可してしまう可能性がありました。
- Microsoft Copilot Studioのカスタマーサポートエージェントは、CRMデータベース全体を漏洩させる恐れがあり、研究者たちは3,000以上のエージェントが内部ツールを漏洩するリスクがあることを特定しました。
- SalesforceのEinsteinプラットフォームは、顧客とのやり取りを研究者が管理するメールアカウントに転送するよう操作されました。
- 攻撃者はGoogleのGeminiやMicrosoft 365のCopilotを内部脅威に変え、ユーザーを標的としたソーシャルエンジニアリング攻撃や機密会話の窃取が可能でした。
Zenity Labsは発見内容を各社に報告し、一部の企業は直ちにパッチを提供しましたが、他の企業がどのような対応を取ったかはすぐには明らかになりませんでした。
「Zenityがこれらの手法を特定し、責任を持って協調的な開示を通じて報告してくれたことに感謝します」とMicrosoftの広報担当者はCybersecurity Diveに語りました。「当社の調査により、プラットフォーム全体で進行中のシステム改善とアップデートにより、報告された挙動はもはや当社のシステムに対して有効ではないことが判明しました。」
Microsoftは、Copilotエージェントには組み込みのセーフガードとアクセス制御が設計されていると述べています。また、今後も新たな攻撃手法に対してシステムの強化を継続していくとしています。
OpenAIは研究者と協議しており、ChatGPTにパッチを適用したことを確認しました。同社は、同様の問題の開示のためのバグバウンティプログラムを維持していると述べています。
Salesforceは、Zenityが報告した問題を修正したと述べています。
Googleは、Zenityが発見した種類の問題に対応する新たな多層防御策を最近導入したと述べています。
「プロンプトインジェクション攻撃に対する多層防御戦略は非常に重要です」とGoogleの広報担当者は述べ、同社の最近のブログ記事でAIシステムの保護について言及しました。
この研究は、AIエージェントが企業環境で急速に進化し、大手企業が従業員に生産性向上のためにこの技術の活用を推奨している中で発表されました。
最新情報をチェックしましょう。Cybersecurity Diveの無料デイリーニュースレターを購読してください。
今年初めにMicrosoft Copilotに関する同様のゼロクリックリスクを実証したAim Labsの研究者たちは、Zenity Labsの結果は急成長するAIエコシステムにおけるセーフガードの不足を懸念させるものだと述べています。
「残念ながら、OpenAI、Google、MicrosoftなどのAI大手が提供するものを含むほとんどのエージェント構築フレームワークには適切なガードレールがなく、このような攻撃の高リスクを管理する責任が企業側に委ねられています」とAim Labsの責任者Itay Ravia氏はCybersecurity Diveに語りました。
Black Hat USA 2025のその他のニュースはこちらからご覧ください。