AIエージェントは、あなたの代わりに買い物をしたり、プログラミングをしたり、そして大胆な気分ならメッセージングアプリであなたの代わりにチャットしたりもできます。ですが注意してください。攻撃者はチャット内の悪意あるプロンプトを使ってAIエージェントをだまし、データを漏えいさせるURLを生成させることができます。そしてリンクプレビューは、そのURLを自動的に取得してしまう場合があります。
メッセージングアプリでは一般的にリンクプレビューが使われており、メッセージに貼られたリンクをアプリが照会して、プレーンなURLの代わりに表示するためのタイトル、説明、サムネイルを抽出できます。AIセキュリティ企業PromptArmorが発見したように、リンクプレビューは、AIエージェントが生成し攻撃者が制御するURLを、ゼロクリックのデータ持ち出しチャネルへと変えてしまい、ユーザーの操作なしに機密情報が漏えいすることを可能にします。
PromptArmorがレポートで指摘しているように、悪意あるリンクを介した間接的なプロンプトインジェクションは珍しいものではありませんが、通常は、AIシステムがだまされて機密のユーザーデータを攻撃者が制御するURLに付加した後、被害者がリンクをクリックする必要があります。同じ手法が、SlackやTelegramのようなメッセージングプラットフォーム内で動作するAIエージェントに対して使われ、リンクプレビューがデフォルトで有効、または特定の設定で有効になっている場合、問題ははるかに深刻になります。
「リンクプレビューを備えたエージェント型システムでは、ユーザーが悪意あるリンクをクリックする必要はなく、AIエージェントがユーザーに応答した時点で直ちにデータ持ち出しが起こり得ます」とPromptArmorは説明しました。
リンクプレビューがなければ、AIエージェントまたは人間のオペレーターがリンクをたどる必要があり、AIシステムがだまされて機密のユーザーデータを攻撃者が制御するURLに付加した後にネットワークリクエストが発生します。前述のとおり、この種のプロンプトインジェクション攻撃は、AIエージェントをだまして情報をURLに付加させることで、APIキーなどさまざまな種類の機密データを抽出できます。
リンクプレビューは対象ウェブサイトからメタデータを取得するため、この一連の攻撃は操作ゼロで完結します。AIエージェントがだまされて機密データを含むURLを生成すると、プレビューシステムがそれを自動的に取得してしまうのです。違いは、データを露出させるURLがどこで見つかるかだけで、この場合は攻撃者のリクエストログに残ります。
雰囲気コーディングされたエージェント型AIの災害プラットフォームであるOpenClawが、Telegramのデフォルト設定を使用している場合にこの攻撃に対して脆弱であることを知っても驚かないでしょう。PromptArmorによれば、記事で詳述されているとおりOpenClawの設定ファイルを変更すれば修正できますが、PromptArmorが提供したデータを見る限り、OpenClawが最大の問題児というわけではないようです。
同社は、メッセージングアプリに統合されたAIエージェントをユーザーがテストし、安全でないリンクプレビューを引き起こすかどうかを確認できるウェブサイトを作成しました。これらのテストの報告結果に基づくと、プレビュー取得の最大の割合を占めるのはMicrosoft Teamsで、ログに記録されたケースではMicrosoft自身のCopilot Studioと組み合わされています。その他にリスクがあると報告された組み合わせには、DiscordとOpenClaw、SlackとCursor Slackbot、DiscordとBoltBot、SnapchatとSnapAI、TelegramとOpenClawが含まれます。
より安全と報告された構成には、Slack上のClaudeアプリ、WhatsApp経由で動作するOpenClaw、そして本当にややこしくしたいなら「Docker内のSignalを介してDocker内で」デプロイされたOpenClawが含まれます。
これはAIエージェントがリンクプレビューの処理を扱う方法に関する問題ですが、PromptArmorは、この問題の修正は主にメッセージングアプリ側に委ねられることになると指摘しています。
「リンクプレビューの設定を開発者に公開するのはコミュニケーションアプリの責務であり、エージェント開発者は提供される設定を活用すべきです」と同社は説明しました。「LLMに安全なチャネルを作るために、コミュニケーションアプリがチャット/チャンネルごとにカスタムのリンクプレビュー設定をサポートすることを検討してほしいと考えています。」
それが実現するまでは、機密性が重要な環境にAIエージェントを追加することへの、また一つの警告だと考えてください。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/10/ai_agents_messaging_apps_data_leak/
