AIエージェントの「メモリ」は攻撃対象になる──防御方法を解説
Dev.to / 2026/6/2
💬 オピニオンDeveloper Stack & InfrastructureSignals & Early TrendsTools & Practical UsageIndustry & Market Moves
要点
- AIエージェントはベクトルストアやRAGインデックス、セッションをまたいだ履歴など、永続的なメモリを活用しつつあり、そのメモリを今後の実行で信頼すると新たな攻撃面が生まれます。
- 一度メモリが汚染されると、攻撃者はその後の振る舞いに継続的(永続的)な影響力を持てる可能性があり、これはOWASPの「ASI06 Memory Poisoning」に該当します。
- 具体的には、RAGに注入した文書が取得のたびにシステム命令を書き換える、ツール出力の改ざんが長期メモリにバックドア指示を植え込む、さらに敵対的入力が保護されたメモリキー(APIエンドポイントや許可ドメイン等)を改変する、といったシナリオが挙げられています。
- これに対する解決策として、OWASPの「Agent Memory Guard」は、メモリの読み書きをすべて設定可能な検知パイプラインに通すオープンソースのPython製ランタイム防御レイヤーを提供します。
- 同ライブラリは、SHA-256の整合性ベースラインによる改ざん検知、メモリ内のプロンプトインジェクション検知、書き込み時の機密情報/PII漏えい検知、保護キーの不正変更検知、そして不審なペイロードサイズ異常の検知などに対応します。
この記事の続きは原文サイトでお読みいただけます。
原文を読む →
