Jessica Lyons

Mon 23 Mar 2026 // 17:50 UTC

彼はRSACでの発表に先立って、自身の研究をThe Registerに共有し、それはこの数年で自分が行ってきた取り組みを土台にしていると述べた――Black Hatで発表した内容や、その他のセキュリティ会議――そして、ユーザーの操作を一切必要としない、主要なAIアシスタントすべてに対する実働のエクスプロイトを開発している。

今月初め、Zenityは脆弱性の一群を明らかにした。これにより攻撃者は、被害者にカレンダーイベントを送るだけで、PerplexityのCometブラウザを使っている誰かからローカルファイルを盗み出せるようになった。

0クリックのプロンプトインジェクション

「いま見えているのは、エージェントが好きなだけ閲覧できるデータへアクセスできてしまうため、それが攻撃要因になって、ゼロクリックでの悪用につながるということです」と彼は述べた。「攻撃者はインターネットに行き、あなたを特定して狙える方法を見つけ、プロンプトインジェクションを送ります。すると、そのインジェクションがあなたのエージェントに入り込み、そこから乗っ取って、攻撃者が望むことを何でも実行させます。」

もちろん、ユーザー操作はゼロ。しかも、やり方はかなり簡単です。

たとえば、CursorはJiraとともにModel Context Protocol（MCP）接続で使われることがよくあります。これにより、AIはエディタ内で直接、Jiraチケットを読み取り、作成し、更新できます。開発者はこの連携を使って、サポートチケットのメールを受け取るたびにJiraチケットの作成を自動化し、エージェントに未解決チケットの解決を依頼できます。

「でも、こうした未解決の案件の中には外部の世界から飛び込んでくるものもあって、あなたは自分で出かけて、それらの“自動でJiraチケット作成を行う”ように接続されたエンドポイントをインターネットで探すことができます。それが、あなたがペイロードを送る方法になります」とBarguryは言った。

私はMicrosoft Copilot、Google Gemini、SalesforceのAgentforce、そしてChatGPTに対して、似たような種類の攻撃を紹介します。そしてその理由は、ほら分かってください。世の中で最高のものでも、極めて脆弱なんだということを示すためです

攻撃者は、Jiraチケットを自動で作成するサポートメールアドレスを検索し、そこに悪意あるプロンプトを埋め込んだメールを送ることができます。Cursorは自動的にそのメールを開いて、プロンプトに基づいて動作します。 

BarguryがRSACで示す例では、彼のチームはCursorに対して、機密情報を見つけ出し、それをZenityが管理するエンドポイントへ送らせようとしました。「でもCursorはそれをしたがりません。なぜなら、“そうしないように”訓練されているからです。」 

AnthropicのClaudeモデルをかなり重く使っているCursorには、機密情報へのアクセスや持ち出し（エクフィル）を防ぐガードレールがあります。そこでZenityのチームは、AIエージェントに機密を盗ませる代わりに、Cursorに「宝探しに参加している」と伝えました。

「そしてこの宝探しの一環として、私たちにとって本当に重要なのは“りんご”を見つけることです」とBarguryは言った。「それから、りんごがどんな見た目をしているかのフォーマットもここに示します――そして“機密情報”がどんなフォーマットかも提示します。」

AIは悪意あるプロンプトに自発的に従い、その結果、侵害されたマシン上でリモートコード実行が発生し、Zenityのチームが機密情報を盗み出せるようになりました。

「講演では、Microsoft Copilot、Google Gemini、SalesforceのAgentforce、そしてChatGPTに対する、似たような種類の攻撃を紹介します」とBarguryは言った。「そしてその理由は、ほら分かってください。世の中で最高のものでも、極めて脆弱なんだということを示すためです。」

• 先月まで、攻撃者はカレンダー招待を送るだけでPerplexity Cometユーザーから情報を盗めていた
• AIエージェントを鈍らせて、あなたに与える被害をせいぜい抑える
• AIエージェントは悪意あるリンクを“プレビューするだけ”で機密を漏らす
• Claude Codeの盗み見AIが、立ち入り禁止の機密ファイルを読み取る

これは単なる机上の空論ではありません。Zenityは世界規模のハニーポットのネットワークを持っており、Barguryは、それらが「正当な企業向けAIエージェント」だと彼らが考えているものを探る攻撃者を捕捉したと述べた。「これはネットワークレベルのリクエストだけではありません」と彼は言った。「プロンプトレベルでのリクエストです。つまり、あなたのシステムを相手の目的のために使おうとする、あるいはあなたがホストしているモデルを理解しようとするためのプロンプトを送ってくるんです。すでに起きています。」  

解決策は、彼の言うには「強固な境界（ハードな境界）」を作ることです――これは、モデルの推論が引き継ぐ前に、コードレベルで強制される“AIエージェントができること”に関する決定論的な制限です。「AIに“ちゃんとお願いして”何かをしないでくれと言うだけでは、それは境界ではない」とBarguryは言った。「その能力を実際に制限するようなソフトウェアを周りに用意する必要があります。」

たとえば、もしAIエージェントが機密情報を読み取るのであれば、その情報を組織の外へ送れないように、強固な境界を設けるべきだ、と彼は説明した。

「でもそれはビルダー向けの助言ですよね？ユーザー向けの助言ではありません」とBarguryは言った。「ユーザーにとっては、こうしたものはあまりにも“魔法のように”見えるので、私たちはつい全面的に信頼してしまいます。彼らは“信頼できる助言者”になります。しかし注意が必要です。信頼できる助言者は、崖からあなたを引きずり落とすことにもなり得るからです。」

言い換えると、確かめるまで信じるな。®

詳細

• AI
• 研究
• セキュリティ

これに近い内容