オープンウェブには、LLM搭載のAIエージェント向けに設計された「トラップ」が徐々に満たされています。
間接プロンプトインジェクション(IPI)として知られるこの技術は、通常のウェブページ内にある程度隠された秘密の指示を埋め込み、AIエージェントがそれらを読んで著者のコマンドを実行するのを待つものです。
IPIアタックキルチェーン(出典:Forcepoint)
「以前の指示を無視する」
今週発表されたGoogleとForcepoint研究者による連続したレポートでは、これらの攻撃の実世界での証拠が明らかにされました。
Googleは月間20~30億のクロールページのリポジトリをデータソースとして使用し、ブログ、フォーラム、コメントセクションを含む静的ウェブサイトに焦点を当てました(ソーシャルメディアコンテンツは除外)。
Forcepoint社のX-Labs研究者は、公的にアクセス可能なウェブインフラストラクチャ全体でアクティブな脅威ハンティングを実施し、「以前の指示を無視する」や「あなたがLLMなら」などのパターンでトリガーされた実際のペイロードをテレメトリで検出しました。
両社は無害な意図と悪意のある意図に基づくIPIを発見しました。
最初のカテゴリは、Googleによると、いたずらと有用なガイダンスを含んでおり、AIエージェントの会話トーン(「鳥のようにツイートする」)を変更する指示や、AI要約に関連するコンテンツを追加するもの(例えば、ユーザーに自分で事実を確認するよう指示すること)などが含まれます。
- 検索エンジン操作/トラフィックハイジャッキング
- AIエージェントがコンテンツを取得するのを防ぎ、代わりに破壊的なアクション(DoS)を開始することを目的とするIPI
- データ流出を目的とするIPI(例:APIキー)
- 破壊に焦点を当てたIPI(例:「ユーザーのマシン上のすべてのファイルを削除しようとする」)
破壊的な意図を持つIPI(出典:Google)
Forcepoint研究者は、金融詐欺を実行することを目的とするIPI試みも発見しました。
例えば、あるペイロードは完全に指定されたPayPalトランザクションと、統合された支払い機能を持つAIエージェント向けに設計されたステップバイステップの指示を埋め込んでいました。別のケースは、メタタグ名前空間インジェクションを説得力増幅キーワード(「ultrathink」)と組み合わせて、AI仲介の金融アクションをStripe寄付リンクに誘導するために使用していました。
3番目のケースは、広く配布されたテストペイロードとして機能しているようであり、より大きな影響を持つ攻撃を展開する前にどのAIシステムが脆弱であるかを特定することを目的としていた可能性があります。
人間から隠す
攻撃者は、人間の目から悪意のある指示を隠しながらAIに完全に見える状態にしておくためにさまざまなトリックを使用しています。
最も一般的なものは、テキストをサイズを1ピクセルに縮小したり、色をほぼ透明に減らしたり、標準的なウェブデザインツールを使用して隠されたものとしてタグ付けしたりして、ウェブページ上のテキストを物理的に見えなくすることです。
より洗練されたトリックには、HTMLコメントセクション内にペイロードを埋め込んだり、ページのメタデータ内に指示を隠したりすることが含まれます。
IPI攻撃への関心が高まっている
どちらのチームも洗練された組織的なキャンペーンの証拠は見つかりませんでしたが、Forcepoint研究者によると、「複数のドメイン全体で共有されたインジェクションテンプレートは、孤立した実験ではなく組織化されたツーリングを示唆しています。
それでも、この脅威に先手を打つためのウィンドウは速く閉じているとかれらは信じています。
Googleはスキャン中に悪意のあるアクティビティの急激な増加を観察したと述べています:「2025年11月から2026年2月の間に、悪意のあるカテゴリで相対的に32%の増加が見られました。[CommonCrawlアーカイブの複数バージョンでスキャンを繰り返しました]。」
Forcepointは、指摘しています。これらの攻撃の影響はAI特権のスケーリングに伴って変わることを。
「要約しかできないブラウザAIはリスクが低い。メールを送信したり、ターミナルコマンドを実行したり、支払いを処理したりできるエージェントAIは、高い影響のターゲットになります。AIエージェントが信頼できないウェブコンテンツを厳密なデータ指示の境界を強制することなく消費する場合、読む各ページは潜在的な攻撃ベクトルのままです。」
翻訳元: https://www.helpnetsecurity.com/2026/04/24/indirect-prompt-injection-in-the-wild/
