TokyoBlackHatNews

breached.company 5分で読了

致命的トリフェクタが襲う:5日間で明らかになった4つの主要AIエージェント脆弱性

本番運用のAIツールが4つ。データ流出ベクトルが4つ。わずか1週間。

2026年1月7日から1月15日にかけて、セキュリティ研究者は、IBM Bob、Superhuman AI、Notion AI、AnthropicのClaude Coworkという4つの主要なAI搭載生産性ツールにおける重大な脆弱性を公に開示しました。各エクスプロイトは同じ根本的な攻撃パターン――セキュリティ研究者のSimon Willisonが「致命的トリフェクタ」と呼ぶ、間接プロンプトインジェクション(非公開データへのアクセス、信頼できないコンテンツへの露出、外部通信能力)の悪用――を示していました。

これらは理論上の概念実証ではありません。Fortune 500企業、医療機関、政府系請負業者に信頼されているツールに対する本番環境でのエクスプロイトです。そして、いずれにも共通する不穏な特徴があります。ユーザーが介入できる前にデータ流出が発生するのです。

共通点:間接プロンプトインジェクションを理解する

従来のサイバーセキュリティは、明確な信頼境界の上に成り立っています。コードは実行される。データは実行されない。指示は認証されたソースから来る。

大規模言語モデルは、これらの境界を破壊します。LLMは、開発者からの信頼できる指示と、処理するPDF・メール・Webページに埋め込まれた悪意ある命令とを、確実に区別できません。すべてがトークンです。すべてが命令になり得ます。

致命的トリフェクタは、次の3つの能力が収束したときに具現化します:

  1. 非公開データへのアクセス – 顧客記録、メール、財務書類、社内コミュニケーション
  2. 信頼できないコンテンツへの露出 – ユーザーのアップロード、Web検索、統合されたサードパーティのデータソース
  3. 流出(エクスフィルトレーション)ベクトル – あらゆる外部通信チャネル(HTTPリクエスト、レンダリング画像、API呼び出し)

この3つが同じコンテキストウィンドウ内に存在すると、攻撃者は脆弱なコードを1行も突くことなく、AIを操ってデータを盗ませることができます。

ケーススタディ1:Claude Coworkのファイル流出(1月13日〜15日)

タイムライン: 1月13日にローンチ、1月15日に悪用
ベンダーの対応: 2025年10月から既知の脆弱性であるにもかかわらず、未解決のままリリース

AnthropicのClaude Coworkは、日常業務の自動化のための汎用AIエージェントとしてローンチされました。48時間以内に、PromptArmorが完全なファイル流出を実証しました。

攻撃ベクトル

Claude Coworkはデータ窃取を防ぐため、ほとんどの外向きネットワーク通信を制限しています。Anthropic自身のAPIドメイン(api.anthropic.com)は「信頼できる」としてホワイトリスト登録されています。攻撃者はこの設計判断を悪用しました。

攻撃チェーン:

  1. ユーザーが、機密の不動産関連ファイルを含むローカルフォルダにCoworkを接続する
  2. ユーザーが悪意ある「スキル」文書をアップロードする(正当なMarkdownに見えるが、.docxとして保存)
  3. 隠しプロンプトは、行間0.1の白地に白の1ポイント文字を使用――事実上見えない
  4. ユーザーが、アップロードしたスキルを使ってファイルを分析するようCoworkに依頼する
  5. インジェクションによりCoworkが実行するよう誘導される:攻撃者のAPIキー付きでAnthropicのファイルアップロードAPIに対してcurlコマンド
  6. 利用可能な最大のファイルがFiles API経由で攻撃者のアカウントにアップロードされる
  7. 攻撃者がAnthropicのダッシュボードから、ローン見積、SSNの一部、財務データを取得する

これが重大である理由

この脆弱性は以前に開示済みでした。セキュリティ研究者Johann Rehbergerは、2025年10月25日にHackerOne経由でFiles APIの流出欠陥をAnthropicに報告しました。Anthropicは認識したものの、問題を修正しませんでした。

3か月後、彼らはCoworkをローンチしました――デスクトップ上のファイル整理を行う非技術者向けとして売り込まれながら――同一の脆弱性がそのまま残っていました。AnthropicはClaude Codeを使い「1週間半」でツールを作り、セキュリティ修正よりも開発速度を優先しました。

Anthropicの公式見解: Coworkにデスクトップの整理を促しながら同時に、ユーザーは「機密情報を含むローカルファイルへのアクセス権を付与しないように」すべきだとしています。

推論能力を強化したAnthropicの最も高度なモデルであるOpus 4.5でさえ、被害を免れませんでした。プロンプトインジェクションは、モデルの知能不足ではなく、アーキテクチャ上の脆弱性を突きます。

コミュニティでの議論: HackerNewsのスレッドは#1に到達し、AIセキュリティの責任をめぐる広範な議論を生みました。

ケーススタディ2:IBM Bobのマルウェア実行(1月7日)

タイムライン: クローズドベータテスト中に発見
ベンダーの対応: 公開開示があったにもかかわらず「脆弱性を把握していなかった」

現在クローズドベータ中のIBMのコーディングエージェントBobは、ユーザーが単一の無害なコマンドに対して「常に許可」を設定している場合、任意のマルウェアをダウンロードして実行するよう操作可能です。

翻訳元: https://breached.company/the-lethal-trifecta-strikes-four-major-ai-agent-vulnerabilities-in-five-days/

ソース: breached.company
#AIエージェント #Anthropic #Claude Cowork #IBM Bob #データ流出(エクスフィルトレーション) #ファイルAPI悪用 #マルウェア実行 #生成AIセキュリティ #致命的トリフェクタ(Lethal Trifecta) #間接プロンプトインジェクション

関連記事

サードパーティのメールベンダーが侵害され、Flickrの3,500万人のユーザーデータが流出

フリード・フランクのデータ侵害でJPMorganとゴールドマン・サックスのプライベート・エクイティ投資家を含む46,000人超が露出:ウォール街のエリート法律事務所が大手銀行顧客にとっての「負債」に

SoFi Technologiesのデータ侵害で数万人分が流出:フィンテック利用者が知っておくべきこと