AIToday

研究者、プロンプトインジェクションをAI防御に活用

WIRED AI3時間前
研究者、プロンプトインジェクションをAI防御に活用

要点

セキュリティ研究企業Tracebitは、クラウドストレージ内の正当なシークレットと並行して悪意あるプロンプトを隠すことで、言語モデルのセーフガード機構を発動させてAI駆動型ハッキング攻撃をブロックできることを発見した。5つの主要AIモデルのテストでは、この手法により管理者権限奪取の成功率を57%から5%に削減し、テスト対象で最も強力なモデルについては93%からゼロに低下させた。これはプロンプトインジェクションを攻撃ツールではなく防御メカニズムとして使用する初めての事例である。

こういう要約が、毎朝あなたのメールに届きます。

無料で登録 →

3つのポイント

  • 何が起きたか

    Tracebitの研究者らは、Amazon Web Services上に保存されたパスワードと暗号化キーに並行してプロンプトインジェクションを埋め込むことで、AIハッキングエージェントをブロックできることを実証した。エージェントが「コンテキスト爆弾」(LLMのセーフガード機構を発動させる悪意あるプロンプト)に遭遇すると、シャットダウンして元の攻撃コマンドの実行を停止する。

  • なぜ重要か

    AI駆動型ハッキングエージェントは現在、テスト対象のモデル全体で攻撃の57%で管理者権限の奪取に成功している。Tracebitのコンテキスト爆弾手法はこれを5%に削減し、テスト対象で最も能力が高いモデル(Opus 4.8)については成功率を93%からゼロに低下させた。これは攻撃をただ検知するのではなく積極的に停止する方法を防御側に提供する。エージェントモデルが管理者権限の奪取に平均14分しか必要としないのに対し、従来の検知方法は攻撃開始から平均8分後に防御側に通知するため、これは極めて重要である。

  • 注目点

    TracebitはOpus 4.8、Gemini 3.1 Pro、GLM 5.2、DeepSeek 4 Pro、Kimi 2.6の5つの主要モデルを152回の攻撃実行でテストした。本研究はTracebitが5月に導入した、AIエージェントが調査時に防御側に通知する「カナリア」AWSリソースに続くもので、攻撃者自身がすでにプロンプトインジェクションを兵器化してAI支援マルウェア分析ツールを無効化しようとしている状況の中での発表である。

詳細

月曜日、Tracebitは、防御側がAmazon Web Services上に保存されたパスワードと暗号化キーと並行して悪意あるプロンプトを埋め込むことでAIハッキングエージェントを停止できることを示す研究を発表した。Tracebitが「コンテキスト爆弾」と呼ぶこの手法は、AIデベロッパーが有害なアクション実行を防ぐために作成するバリアであるLLMのビルトインセーフガード機構を発動させることで機能する。LLMが禁止コマンドを拒否すると、既存の指示に従うのを停止し、事実上攻撃を中止する。

研究者らは、吸入性炭疽菌胞子開発の指示を提供するか、中国系デベロッパーのモデルの場合は1989年の天安門広場虐殺の戦車男を参照するようLLMに指示するプロンプトを仕込むことで、このコンセプトを実証した。攻撃側のLLMがこれらのコマンドに遭遇すると、拒否メカニズムが発動して持続する。Tracebitの共同創業者兼CEOのAndy Smithが説明したように:「一度コンテキストに入ると、彼らは拒否し続けるだろう」。TracebitはこのアプローチをOpus 4.8、Gemini 3.1 Pro、GLM 5.2、DeepSeek 4 Pro、Kimi 2.6の5つの主要モデルでテストし、テスト用AWS環境内でデベロッパータスクをシミュレートして、エージェントが管理者認証情報の盗取や永続的なフットホルドの確立にどの程度成功するかを測定した。

結果は大きなものであった。152回の攻撃実行を通じて、管理者権限奪取は57%から5%に低下した。管理者奪取と永続的フットホルド確立の組み合わせは36%から1%に低下した。あらゆる攻撃経路を達成した実行は91%から15%に低下した。テスト中最も能力が高かったモデルであるOpus 4.8は、攻撃実行の93%で管理者アクセスを達成していたが、コンテキスト爆弾に直面するとすべて失敗した。平均すると、防御がない場合、各攻撃実行は1.53の成功した攻撃経路を完了したが、防御がある場合は0.16に過ぎない。注目すべきことに、少なくとも1回のカナリア検知をトリガーしない実行は成功していない。

この研究はTracebitの5月の研究に基づいており、カナリアリソース(正当に見えるが実際には機能を持たない偽のAWSリソース)を導入している。エージェントAIがこれらを調査すると、防御側は通常、攻撃開始から8分以内にアラートを受け取る。しかし、この検知ウィンドウは不快なほど狭いことが判明した。エージェントモデルは管理者権限へのエスカレーションに平均14分しか必要としないため、防御側はわずか6分で対応する必要があった。コンテキスト爆弾は、警告ではなく積極的に攻撃を停止することでこのギャップを埋めるために設計された。この研究はまた、攻撃者自身のプロンプトインジェクション兵器化にも対応している。SocketとCheck Pointのセキュリティ研究者は、LLMエージェントが核兵器または生物兵器製造の指示を出力するよう指示されている事例を文書化しており、これはAI支援マルウェア分析を無効化するために特に設計されている。UC San Diegoの教授でAIセキュリティを専門とするEarlence Fernandesは、コンテキスト爆弾がこの手法の初めての既知の防御的用途のように見えると確認し、彼自身も類似のアプローチを模索していたがTricebitに「先を越された」と述べた。プロンプトインジェクションの根本的原因は未解決のままであり、デベロッパーはセーフガードのみに依存することを強いられている。この制限がコンテキスト爆弾を防御側の利益に変えている。

背景と解説

プロンプトインジェクション攻撃は長らく一方向の脅威であった。攻撃者はメール、文書、その他のコンテンツに悪意あるコマンドを埋め込み、AIシステムをだましてデータを流出させたり有害な行動を実行させたりしていた。この攻撃は大規模言語モデルの根本的な性質を悪用している。LLMは正当な指示と埋め込まれた隠し命令を区別するのに苦労している。Check PointとSocketのセキュリティ研究者は、攻撃者がこの同じ手法を防御的に使用している事例を文書化している。マルウェアにプロンプトを注入してAI支援セキュリティ分析ツールを無効化しているのだ。

Tricebitのイノベーションはこのダイナミクスを逆転させ、AIデベロッパーがモデルに組み込んだセーフガード機構そのものを兵器化している。重要な洞察は、LLMが一貫して特定の禁止されたアクション実行を拒否し、一度こうした拒否に遭遇すると、元のタスク指示に従うのを停止する状態に入るということである。防御側がクラウドストレージ内の実際のシークレットと並行してこれらのトリガープロンプトを仕込むことで、攻撃側にとって罠が生まれる。AIエージェントが侵入して認証情報を盗むためにリソースを列挙し始めると、不可避的に仕込まれたプロンプトを発見してシャットダウンしてしまう。研究は、これが著しく効果的であることを示している。5つの主要モデルと152回の攻撃を通じて、この手法は完全侵害(攻撃者が永続性を確立する状況)を36%からわずか1%に削減した。

タイミングのコンテキストは極めて重要である。Tracebitの5月の研究はカナリアリソースを導入し、防御側に8分以内に進行中の攻撃を通知できるようにした。エージェントモデルが権限奪取に平均14分を要するため、防御側は対応するのに6分間の奪い合いに直面する。コンテキスト爆弾は、人間の介入を必要とせず攻撃を自動的に失敗させることで、この奪い合いを排除する。これは防御側がプロンプトインジェクションを防御メカニズムとして使用する初めての文書化された事例であり、専ら攻撃者のツールであったものを盾に変えている。

よくある質問

コンテキスト爆弾はどのように機能するか?
防御側は、吸入性炭疽菌胞子開発の指示を提供すること、あるいは中国のモデルの場合は天安門事件の戦車男を参照することなど、禁止されたアクションを実行するよう指示するプロンプトを仕込む。攻撃側のエージェントのLLMがこれらの禁止コマンドに遭遇すると、セーフガードが発動して拒否メカニズムが作動し、モデルは既存の攻撃指示に従うことを停止する。
Tracebitはどのモデルをテストしたか?
Tracebitはシミュレーション環境内のAWS上でOpus 4.8、Gemini 3.1 Pro、GLM 5.2、DeepSeek 4 Pro、Kimi 2.6を152回の攻撃実行でテストした。
防御側にとってなぜタイミングが重要か?
エージェントモデルは管理者権限の奪取に平均14分を要する。Tracebitの初期段階のカナリア検知方法は平均8分以内に防御側に通知し、わずか6分間の余裕しかない。コンテキスト爆弾はこの時間との競争を必要とせず、攻撃を積極的に停止する。

「大規模言語モデル」の最新ニュースを、毎朝7時にお届けします

AIが要約して、あなたの選んだトピックだけを1日1通。LINE・Email・Slackで届きます。

登録無料・30秒で完了・いつでも解除できます

ディスカッション

まだコメントがありません。最初のコメントを投稿しましょう!

ログインして議論に参加

関連記事

AIニュースを毎日お届け

200以上のソースから厳選したAIニュースを毎日無料でお届けします。

無料で始める

登録無料・30秒で完了・いつでも解除できます

毎朝1分、AIの要点だけ。

200媒体以上・Email/LINE/Slack 対応

無料で受け取る →