セキュリティ研究者が4月23日、実環境のAIエージェントに対し観測された間接プロンプトインジェクション(IPI)ペイロード10種を公開した。Anthropicの「Comment and Control」報告やGitHub CopilotのCVE-2025-53773(CVSS 9.6)と同系統で、攻撃が机上の話を抜けたことを示す。
共通の狙い
API鍵抜き取り、リポジトリ破壊、外部送金トリガー、サードパーティAPIへの不正リクエスト。多くがイシュー本文・PRタイトル・READMEの注釈・Webページのhidden要素に埋め込まれた。
防御の優先順位
- ツール呼び出しの出力先を入力源と独立に絞る
- 外部ドキュメント取り込みは別エージェントに分け、書き込み権限を切る
- 敏感操作(決済・鍵発行・PRマージ)は人手レビューを必須にする
仕様修正待ちより、CIゲートと権限分離の二重化が現実的。