GLOSSARY — AI用語辞典 TSUGINOTE AI NEWSROOM

間接プロンプトインジェクション

間接プロンプトインジェクションとは、AIが処理するWebページ・文書・画像などの外部コンテンツに、人の目に見えない命令を仕込み、AIをその命令に従わせて乗っ取る攻撃手法のこと。AIが「利用者からの指示」と「信頼できない外部データ」を区別しない性質を突く。攻撃はユーザーの画面には現れず、AIブラウザやエージェントのように外部情報を読んで自動で動く仕組みで特に危険性が高い。

利用者が直接あやしい指示を打ち込む「直接」型と違い、こちらは第三者が用意したデータの中に命令が潜むのが特徴です。攻撃者は白い背景に白い文字、HTMLのコメント欄、あるいは画像内の淡い文字といった人には読めない場所に命令を書いておく。AIがそのページや画像を読み込むと、命令を利用者の指示と取り違えて実行してしまいます。

仕組み

ブラウザ大手Braveのセキュリティチームは2025年8月、Perplexityの「Comet」で本手口を実証しました。「このページを要約して」と頼むとページ内容がそのままAIへ渡り、AIは指示と本文を区別しないため、隠された命令が発動する——という流れです。同年10月には、スクリーンショット内の見えない文字でも成立することを示し、AIブラウザというカテゴリ全体の系統的な課題だと結論づけました。ChatGPT Atlasでも同種の実証が相次いでいます。

本質と防御

問題の核心は、賢いモデルほど、言われたことを忠実に実行する点にあります。OpenAIは自社解説で、この種の攻撃は詐欺やソーシャルエンジニアリング同様に完全には「解決」されない見込みだと述べています。OWASPもプロンプトインジェクションをLLMリスクの第1位(LLM01)に据え続けています。現実的な防御は、悪意を水際で見分けるより、権限を絞り・危険な操作は人が承認し・ツールを隔離する封じ込め(containment)だとされます。

出典: Brave Security Team「Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet」(2025年8月)/「Unseeable prompt injections in screenshots」(2025年10月)/OpenAI「Understanding prompt injections」(2025年)/OWASP「Top 10 for LLM Applications」LLM01