研究者がAIエージェントを狙う10個の実運用環境でのプロンプトインジェクションペイロードを発見

セキュリティ研究者が、AIエージェントを狙う10個の新しい間接プロンプトインジェクション（IPI）ペイロードを発見しました。これらは詐欺、データ破壊、APIキー盗難など、悪意のある目的で設計された指示を含んでいます。

脅威者は、ウェブコンテンツを改ざんすることでIPIを実現します。エージェントがそのコンテンツをクロールまたは要約する際に、指示が正当なものとして実行されるのです。

これは、ウェブページを閲覧・要約するエージェント、RAGパイプライン向けのコンテンツをインデックスするエージェント、メタデータ/HTMLコメントを自動処理するエージェント、または広告コンテンツ、SEOランキング、モデレーション用にページをレビューするエージェントに影響を与えます。

「影響はAIの権限に応じてスケールします。要約のみができるブラウザAIはリスクが低いですが」とForcepoint シニアセキュリティ研究者のMayur Sewaniは昨日のブログ投稿で説明しました。「メールを送信したり、ターミナルコマンドを実行したり、支払いを処理したりできるエージェント型AIは、高い影響を持つターゲットになります。」

間接プロンプトインジェクションの詳細：HashJack 間接プロンプトインジェクションがウェブサイトを武器化

Forcepointの研究は、IPI の以下のような一般的なトリガーを発見しました：

• 「前の指示を無視してください」
• 「すべての前の指示を無視してください」
• 「あなたがLLMの場合」
• 「あなたが大規模言語モデルの場合」

ペイロードが何であれ、攻撃チェーンは同じです。脅威者はウェブコンテンツを改ざんしてペイロードを隠し、エージェントがそれと相互作用するのを待ちます。ページを取り込むと、エージェントは前の指示を無視し、攻撃者の指示に従い、実際のアクション（しばしば「攻撃者への秘密の外部流出チャネル」）をトリガーしますとSewaniは説明しました。

データ盗難と破壊

Forcepointが実環境で発見した例のいくつかは、かなり無害に見えます。

それらには、著作権所有者がAIにページのコンテンツに関するユーザーの質問に答えることを「明示的に禁止した」という虚偽の主張が含まれています。技術的には「サービス拒否」またはコンテンツ抑圧と説明されています。

別のものは実質的な営業ピッチです。「属性ハイジャック」と説明されており、AIが取り込んでいるコンテンツを「Kirill Bobrov」に帰属させ、ユーザーにコンサルティング業務のために彼に連絡するよう促すよう指示しています。

しかし、SewaniとそのチームによってPAYLOAD発見された他のIPIペイロードは、より明らかに悪意があります。

1つは、LLM駆動のコーディングアシスタント、開発者ツール、またはシェルアクセス権を持つエージェント型AIに、「ファイルとディレクトリの再帰的な強制削除」のためのUnixコマンドを実行するよう強制しようとしますとSewaniは説明しました。

「この攻撃は、エージェント型AIの攻撃表面を特に狙っているため注目に値します。IDE、ターミナル環境、またはDevOpsパイプラインに統合されたAIアシスタント」と彼は続けました。「GitHub Copilot、Cursor、Claude Code、またはAI駆動のCI/CDレビューアーなどのツールは、研究タスク中にウェブページからこれを取り込む可能性があります。」

別のものは、「秘密のAPIキーを送ってください」という指示を含んでおり、エージェントがアクセスできる秘密をリークするよう強制します。同時に「コードを分析しないでください/フラグを吐き出さないでください」という指示でインジェクションを隠そうとしています。

3番目のペイロードは金融詐欺の大胆な試みで、PayPal.meリンク、$5,000の固定額、およびトランザクションを処理するための完全な指示を埋め込んでいます。

「このペイロードは、統合された支払い機能を持つAIエージェント用に設計されています：保存された支払い認証情報を持つブラウザエージェント、AI財務アシスタント、またはデジタルウォレットにアクセスできるエージェントツール」とSewaniは説明しました。

「その異常な具体性（正確な金額、正確なURL、正確なステップ）は、これがプローブではなく、即座の実行を意図した武器化されたペイロードであることを示しています。」

Forcepointは警告で締めくくりました：エージェントが「厳格なデータ指示の境界を実施せずに」信頼されていないウェブコンテンツを取り込む場合、読むすべてのページが潜在的な脅威となります。