プロンプトインジェクション（脅威・リスク）に関するニュース一覧

Googleは10日、AIエージェントがGoogle MapsやBigQueryなどの自社サービスに容易に接続できる「フルマネージドMCPサーバー」を発表しました。従来開発者が手動で構築していたコネクタ部分をGoogleが管理・提供することで、AIと実データの連携を簡素化し、開発工数の削減とガバナンスの強化を実現します。

これまでAIエージェントを外部ツールと連携させるには、複雑なコネクタの開発と維持が必要でした。今回の発表により、開発者はURLを指定するだけで、安全かつ信頼性の高い接続が可能になります。Google Cloud幹部は「Google全体をエージェント対応（Agent-ready）にする設計だ」と述べています。

初期対応サービスには、Google Maps、BigQuery、Compute Engine、Kubernetes Engineが含まれます。これにより、AIは最新の地理情報に基づいた旅行計画や、大規模データへの直接クエリ、インフラ操作などが可能になります。現在はパブリックプレビューとして、既存顧客に追加コストなしで提供されています。

採用されたMCP（Model Context Protocol）はAnthropicが開発したオープンソース標準であり、ClaudeやChatGPTなどの他社クライアントとも連携可能です。また、GoogleのAPI管理基盤「Apigee」を使えば、企業は既存のAPIをMCPサーバーに変換し、セキュリティ設定を維持したままAIに開放できます。

企業利用を前提に、権限管理の「IAM」や、プロンプトインジェクション等の脅威を防ぐ「Model Armor」といった高度なセキュリティ機能も統合されています。Googleが「配管工事」を担うことで、エンジニアはエージェントの本質的な価値創造に集中できるようになります。

Googleは8日、Chromeブラウザに実装予定のAIエージェント機能に関し、セキュリティ対策の詳細を明らかにしました。ユーザーの代わりにWeb操作を行う利便性を提供する一方、情報漏洩などのリスクを最小化するため、AIによる監視と厳格な権限管理を組み合わせた多層防御を導入します。

具体策の中核は「批評家モデル」による相互監視です。Geminiベースのモデルが、実行計画がユーザーの目的に合致しているかをメタデータレベルで監査し、逸脱があれば修正を求めます。また、AIがアクセスできる領域を限定し、不要なデータ取得や悪意あるサイトへの誘導も遮断します。

最も重要な決定権は人間に残されます。決済や医療データなどの機密タスクを実行する際や、ログインが必要な場面では、必ずユーザーに許可を求めます。AIモデル自体にはパスワード情報を渡さず、既存の管理機能を経由させることで、利便性と安全性の両立を図っています。

NVIDIAは2025年12月4日、2026-2027年度の大学院フェローシップ受賞者を発表しました。計算科学の革新を担う博士課程学生10名に対し、最大6万ドルの研究資金提供とインターンシップの機会を付与します。

本制度は25年の歴史を持ち、NVIDIAの技術に関連する卓越した研究を支援するものです。世界中から選抜された学生たちは、自律システムやディープラーニングなど、コンピューティングの最前線で研究を加速させます。

今回の受賞研究では、物理AIやロボティクスなど実世界への応用が目立ちます。インターネット上のデータから汎用的な知能を構築する試みや、人間とAIエージェントが円滑に協調するためのインターフェース研究が含まれます。

また、AIの信頼性と効率性も重要なテーマです。プロンプトインジェクション攻撃に対するセキュリティ防御や、エネルギー効率の高い持続可能なAIトレーニング基盤の構築など、社会実装に不可欠な技術が含まれます。

受賞者はスタンフォード大学やMIT、ハーバード大学など、世界トップレベルの研究機関に所属しています。彼らは奨学生としてだけでなく、NVIDIAの研究者と共に次世代の技術革新をリードする役割が期待されています。

GitHubは2025年11月25日、同社のAI製品に適用している「エージェントセキュリティ原則」を公開しました。AIエージェントが高い自律性を持つようになる中、開発者が直面するセキュリティリスクを軽減し、安全なAI活用を促進するための実践的な指針です。

エージェント機能の高度化は、新たな脅威をもたらします。特に、インターネット接続による「データ流出」、誰の指示か不明確になる「なりすまし」、そして隠しコマンドで不正操作を誘導する「プロンプトインジェクション」が主要なリスクとして挙げられます。

これらの脅威に対し、GitHubは徹底した対策を講じています。まず、AIに渡されるコンテキスト情報から不可視文字を除去して完全可視化し、外部リソースへのアクセスをファイアウォールで制限することで、隠れた悪意や情報漏洩を防ぎます。

また、AIがアクセスできる機密情報を必要最小限に絞り、不可逆的な変更（直接コミットなど）を禁止しています。重要な操作には必ず人間による承認（Human-in-the-loop）を必須とし、AIと指示者の責任境界を明確に記録します。

これらの原則はGitHub Copilotに限らず、あらゆるAIエージェント開発に適用可能です。自社のAIシステムを設計する際、ユーザビリティを損なわずに堅牢なセキュリティを構築するための重要なベンチマークとなるでしょう。

米Anthropicは24日、最上位AIモデル「Claude Opus 4.5」を発表しました。コーディングやエージェント操作で世界最高性能を達成しつつ、利用料を大幅に引き下げたのが特徴です。OpenAIやGoogleとの競争が激化する中、エンジニアリング能力とコスト効率の両立で市場の覇権を狙います。

特筆すべきは実務能力の高さです。開発ベンチマーク「SWE-bench Verified」で80.9%を記録し、競合モデルを凌駕しました。同社の採用試験でも、制限時間内に人間のエンジニア候補を超える成績を収めています。

コストパフォーマンスも劇的に向上しました。価格は入力5ドル・出力25ドルと大幅に低減。新機能「Effortパラメータ」を使えば、タスクの重要度に応じて推論の深さと消費コストを柔軟に調整し、最適化できます。

ユーザー体験の制限も解消されました。会話が長引くと自動要約で文脈を維持する「無限チャット」を導入。ExcelやChromeとの連携も強化され、複雑なワークフローを中断することなく自律的に遂行可能です。

企業利用を見据え、安全性も強化されています。悪意ある命令を防ぐ「プロンプトインジェクション」への耐性は業界最高水準に到達。性能、コスト、安全性の全方位で進化した本モデルは、AIエージェントの実用化を加速させるでしょう。

マイクロソフトは11月19日、Windows向けの新機能「Copilot Actions」において、デバイスへの感染や機密データの窃盗につながるリスクがあると警告しました。同社はこの実験的なAI機能を有効にする際、セキュリティへの影響を十分に理解した上で利用するようユーザーに求めています。

「Copilot Actions」は、ファイル整理や会議設定、メール送信などの日常業務を自律的に実行するエージェント機能です。ユーザーに代わって複雑なタスクを処理し、ビジネスの生産性と効率性を飛躍的に高める「能動的なデジタル・コラボレーター」として設計されています。

しかし、基盤となる大規模言語モデル（LLM）には脆弱性が残ります。特に懸念されるのがプロンプトインジェクションです。これは、Webサイトやメールに含まれる悪意ある指示をAIが正規の命令と誤認し、攻撃者の意図通りに動作してしまう現象を指します。

また、事実に基づかない回答を生成するハルシネーションも依然として課題です。セキュリティ専門家からは、危険性が十分に制御されていない段階で新機能を推進するビッグ・テックの姿勢に対し、厳しい批判の声が上がっています。

AIによる自動化は魅力的ですが、現段階では人間の監督が不可欠です。経営者やエンジニアは、新機能の導入による生産性向上とセキュリティリスクを天秤にかけ、慎重な運用設計と監視体制を行う必要があります。

LangChain社が、AIエージェント開発プラットフォーム「DeepAgents」向けに、生成されたコードを安全に実行するための新機能「Sandboxes」を発表しました。この機能は、Runloop、Daytona、Modalの3社と提携し、ローカルマシンから隔離されたリモート環境でコードを実行することで、悪意のあるコードによるリスクを排除します。開発者は安全性と環境の再現性を両立できます。

なぜサンドボックスが必要なのでしょうか。AIエージェントは自律的にコードを生成・実行するため、意図せずシステムに損害を与える危険性がありました。また、開発環境に特定のライブラリを追加する必要があるなど、環境構築の複雑化も課題でした。サンドボックスは、こうした安全性や環境汚染の問題を解決し、クリーンで一貫性のある実行環境を提供します。

DeepAgent自体は開発者のローカルマシンなどで動作しますが、コードの実行やファイルの作成といった命令はリモートのサンドボックス内で行われます。エージェントはサンドボックス内のファイルシステムやコマンド出力を完全に把握できるため、あたかもローカルで作業しているかのように、自然な対話と修正を繰り返すことが可能です。

導入は非常に簡単です。提携するサンドボックスサービスのアカウントを作成し、APIキーを環境変数として設定します。その後、DeepAgentsのコマンドラインツール（CLI）で簡単なコマンドを実行するだけで、サンドボックスをエージェントに接続し、利用を開始できます。セットアップスクリプトで環境の事前準備も可能です。

サンドボックスは強力ですが、万能ではありません。悪意のあるプロンプト入力によって機密情報が漏洩する「プロンプトインジェクション」のリスクは残ります。対策として、人間による監視（Human-in-the-loop）や、有効期間の短いAPIキーを使うなどの対策が推奨されています。

LangChainは今後、サンドボックスの設定オプションをさらに拡充し、実際の業務で活用するための具体例を共有していく計画です。AIエージェントがより安全かつ強力なツールとしてビジネスの現場で活用される未来に向け、開発者コミュニティと共に機能を進化させていく方針です。

OpenAIが2025年11月7日、AIを悪用する新たなサイバー攻撃「プロンプトインジェクション」のリスクと対策を公開しました。これは、第三者が悪意ある指示をAIとの対話に紛れ込ませ、意図しない動作を引き起こさせる攻撃手法です。AIがより自律的なエージェントとして進化する中、OpenAIはモデルの堅牢化からユーザー保護機能まで、多層的な防御戦略でこの脅威に立ち向かう姿勢を明確にしました。

プロンプトインジェクションとは、会話型AIに特化したソーシャルエンジニアリング攻撃です。人間がフィッシングメールに騙されるように、AIがWebページなどに隠された悪意ある指示を読み込み、ユーザーの意図に反して誤った商品を推奨したり、機密情報を漏洩させたりする危険性を持ちます。

このリスクは、AIが単なる応答ツールから、Web閲覧や他アプリと連携して自律的にタスクをこなす「エージェント」へと進化するにつれて深刻化します。ユーザーのメールや個人データへアクセスする機会が増えるため、一度の攻撃で甚大な被害につながる可能性があるのです。

OpenAIは、この脅威に対抗するため「単一の万能薬はない」とし、多層的な防御アプローチを採っています。モデル自体の堅牢性を高める研究開発から、AIによる攻撃の自動監視、製品設計レベルでの安全機能、そしてユーザー自身によるコントロールまで、複数の防御壁を設けています。

具体的な対策として、モデルが信頼できる指示とそうでない指示を区別する「Instruction Hierarchy」という研究を進めています。また、AIを活用した監視システムが新たな攻撃パターンを迅速に検知・ブロックし、継続的なモデルの改善を支えています。

ユーザー保護の観点では、AIがコードを実行する際に外部への影響を防ぐ「サンドボックス」技術や、商品の購入といった重要な操作の前にユーザー確認を求める機能も実装。利用者がAIの行動を常に把握し、制御下に置けるよう設計されています。

OpenAIはユーザー自身にも対策を呼びかけています。AIエージェントに与えるアクセス権を必要最小限に絞る、指示は具体的に出す、重要な操作は必ず確認するなど、慎重な利用が自身のデータを守る鍵となります。

プロンプトインジェクションは、技術の進化とともに形を変える継続的な課題です。OpenAIは、今後も研究開発への投資を続け、発見した知見を共有することで、社会全体で安全にAIの恩恵を享受できる世界の実現を目指すとしています。

マイクロソフトは2025年11月5日、AIエージェントの市場行動を研究するためのシミュレーション環境「Magentic Marketplace」をオープンソースで公開しました。アリゾナ州立大学との共同研究で、GPT-5など最新モデルをテストした結果、選択肢が多すぎると性能が落ちる「選択のパラドックス」や、意図的な情報操作に対する深刻な脆弱性が明らかになりました。

今回の実験で最も驚くべき発見の一つは、AIエージェントが「選択のパラドックス」に陥ることです。選択肢が増えるほど、より良い結果を出すと期待されるのとは裏腹に、多くのモデルで消費者利益が低下しました。例えばGPT-5は、選択肢が増えると性能が最適値の2000から1400へ大幅に低下。これは、AIが持つコンテキスト理解の限界を示唆しています。

さらに、AIエージェントは情報操作に対しても脆弱であることが判明しました。偽の権威付けや社会的証明といった心理的戦術から、悪意のある指示を埋め込むプロンプトインジェクションまで、様々な攻撃をテスト。その結果、GPT-4oなどのモデルは、操作した事業者へ全ての支払いを誘導されてしまうなど、セキュリティ上の重大な懸念が浮き彫りになりました。

実験では体系的な偏り（バイアス）も確認されました。一部のオープンソースモデルは、検索結果の最後に表示された事業者を優先的に選択する「位置バイアス」を示しました。また、多くのモデルが最初に受け取った提案を安易に受け入れる「提案バイアス」を持っており、より良い選択肢を見逃す傾向がありました。こうした偏りは、市場の公正性を損なう恐れがあります。

「Magentic Marketplace」は、こうした複雑な問題を安全に研究するために開発されたプラットフォームです。現実世界では難しい、多数のエージェントが同時に相互作用する市場をシミュレートし、消費者保護や市場効率、公平性といった課題を検証できます。マイクロソフトは、この環境を研究者に開放することで、AIが社会に与える影響の解明を加速させたい考えです。

今回の研究結果は、AIエージェントの実用化にはまだ多くの課題があることを示しています。特に、重要な意思決定をAIに完全に委ねるのではなく、人間が監督する「ヒューマン・イン・ザ・ループ」の仕組みが不可欠です。企業がAIエージェントを導入する際には、こうした脆弱性を十分に理解し、対策を講じる必要があります。今後の研究開発の焦点となるでしょう。

Google Cloudは2025年11月5日、AI開発プラットフォーム「Vertex AI」の中核をなす「Agent Builder」の大規模アップデートを発表しました。この更新は、企業がAIエージェントの構想から設計、展開までをより迅速かつ安全に行えるようにするものです。主な特徴は、開発プロセスを加速する新ツール群と、本番運用に不可欠なガバナンス機能を大幅に強化した点にあります。

開発の高速化は、今回のアップデートの大きな柱です。最先端のコンテキスト管理レイヤーや、失敗したタスクを自己修復する事前構築済みプラグインを導入。開発キット（ADK）はPythonやJavaに加え、新たにGo言語をサポートしました。さらに、コマンド一つでローカル環境からテスト環境へ移行できる「ワンクリックデプロイ」機能も提供します。

同時に、企業利用で必須となるガバナンス機能も大幅に拡充されました。新たに導入された観測可能性ダッシュボードでは、トークン消費量やエラー率などを本番環境で追跡できます。また、エージェントに固有のIDを付与して監査証跡を明確にする機能や、プロンプトインジェクションを防ぐ「Model Armor」も搭載されました。

この観測可能性ダッシュボードは、開発者にとって強力なツールとなるでしょう。本番環境で稼働するエージェントのトークン消費量、エラー率、レイテンシー（遅延）を可視化し、問題が発生した際の原因特定と再現を容易にします。これにより、クラウドベースでの本番監視が格段に効率化され、安定した運用が可能になります。

Google CloudがAgent Builderの強化を急ぐ背景には、熾烈な開発者獲得競争があります。OpenAIの「AgentKit」やマイクロソフトの「Azure AI Foundry」、AWSの「Bedrock」など、競合他社もAIエージェント開発基盤の機能拡充を競っています。今回のアップデートは、自社エコシステム内に開発者を留め、競争優位性を確保するための戦略的な一手と言えるでしょう。

OpenAIなどがAI搭載ブラウザを相次いで発表し、Google Chromeの牙城に挑む「第3次ブラウザ戦争」が勃発しました。ユーザーの代わりにウェブサイトを操作するAIエージェント機能を武器に、各社はウェブの新たな入り口となる覇権を狙います。これは、単なるブラウザのシェア争いではなく、ウェブの利用方法そのものを根底から変える可能性を秘めています。

なぜ今、ブラウザ戦争が再燃しているのでしょうか。背景には、AI技術の急速な進化があります。AIアシスタントが真価を発揮するには、ユーザーが最も時間を費やすブラウザへの統合が不可欠だからです。加えて、Googleへの規制強化という追い風も、新興企業に参入の好機を与えています。

AIブラウザが狙うのは3つの価値です。1つは閲覧履歴から得られる膨大なユーザーデータ。2つ目は各種サービスと連携しタスクをこなすプラットフォーム機能。そして3つ目は、検索窓に代わる「意図の入力点」の掌握です。

これまでの戦争とは、目指すものが根本的に異なります。第1次が「ウェブページへのアクセス」、第2次が「ウェブアプリの高速化」を競ったのに対し、今回の第3次は「AIエージェントによるタスクの自動実行」が主戦場です。私たちはURLを入力する代わりに、AIに目的を告げるだけになるかもしれません。

一方でリスクも指摘されます。悪意ある指示でAIを操る「プロンプトインジェクション」等の新たなセキュリティ脅威や、AI企業によるデータ収集というプライバシー問題です。ウェブのオープンな性質が失われる懸念も浮上しています。

絶対王者Googleも対抗します。ブラウザ「Chrome」に自社AI「Gemini」を統合し、機能強化を図っています。しかし、独占禁止法などの制約も多く、新興勢力に比べて慎重な動きを取らざるを得ません。この対応の差が勝敗を分ける可能性もあります。

「第3次ブラウザ戦争」は、私たちのウェブとの関わり方を一変させる可能性を秘めています。勝者が手にするのは、単なる市場シェアではなく、未来のコンピューティングにおける中心的な役割です。どの企業が次世代の標準を築くのか、各社の動向から目が離せません。

OpenAIやマイクロソフトなどが開発を急ぐAI搭載ブラウザについて、サイバーセキュリティ専門家が「時限爆弾だ」と重大な警鐘を鳴らしています。AIエージェントの悪用や過剰な個人情報追跡といった新たな脆弱性が指摘され、利便性の裏でユーザーが未知のリスクに晒されているとの懸念が急速に広がっています。

最大の脅威は「プロンプトインジェクション」です。これは、攻撃者がAIエージェントに悪意のある指示を注入し、ユーザーに代わって不正操作を行わせる手口。画像やメールに巧妙に隠された命令で個人情報を盗んだり、マルウェアを仕込んだりする危険性があります。

また、AIブラウザは閲覧履歴やメール内容などあらゆる情報を学習する「記憶」機能を持ちます。これにより、かつてないほど詳細な個人プロファイルが生成されます。この情報がひとたび漏洩すれば、クレジットカード情報などと結びつき、甚大な被害につながりかねません。

各社が開発競争を急ぐあまり、製品の十分なテストや検証が不足している点も問題です。未知の脆弱性が残されたまま市場投入され、ハッカーに悪用される「ゼロデイ攻撃」のリスクを高めていると専門家は指摘。技術の急進展が安全性を犠牲にしている構図です。

AIエージェントを標的とした攻撃は、検知が非常に困難な点も厄介です。AIの判断を介するため、従来のセキュリティ対策では防ぎきれないケースが想定されます。攻撃者は自動化ツールで何度も試行できるため、防御側は不利な立場に置かれやすいのが現状です。

では、ユーザーはどう身を守ればよいのでしょうか。専門家は、AI機能をデフォルトでオフにし、必要な時だけ使うことを推奨します。AIに作業させる際は、URLを直接指定するなど、行動を限定的にすることが重要です。漠然とした指示は、意図せず危険なサイトへ誘導する可能性があります。

ChatGPT開発元のOpenAIが、初のAI搭載Webブラウザ「Atlas」を発表しました。Perplexityの「Comet」など競合も登場し、Web上の作業を自動化する「AIエージェント」への期待が高まっています。しかしその裏で、悪意あるWebサイトの指示をAIが誤って実行してしまう「プロンプトインジェクション攻撃」という、深刻かつ未解決のセキュリティリスクが大きな課題として浮上しています。

プロンプトインジェクション攻撃とは、攻撃者がWebページ内に人間には見えない形で、AIへの悪意ある命令を仕込む手口です。AIエージェントがページ情報を要約・分析する際にこの隠れた命令を読み込み、ユーザーの指示よりも優先して実行してしまう危険性があります。これはAIの仕組みに根差した脆弱性です。

この攻撃を受けると、AIエージェントはユーザーの個人情報やメール内容を外部に送信したり、勝手に商品を購入したり、意図しないSNS投稿を行う可能性があります。ブラウザがユーザーに代わって操作を行うため、被害は広範囲に及ぶ恐れがあり、従来のブラウザにはなかった新たな脅威と言えるでしょう。

セキュリティ専門家は、この問題が特定のブラウザの欠陥ではなく、AIエージェントを搭載したブラウザというカテゴリ全体が直面する「体系的な課題」だと指摘しています。現在、この攻撃を完全に防ぐ確実な解決策はなく、「未解決のフロンティア」であるとの認識が業界内で共有されています。

OpenAIやPerplexityもこのリスクを認識しており、対策を進めています。例えば、ユーザーのアカウントからログアウトした状態でWebを閲覧するモードや、悪意あるプロンプトをリアルタイムで検知するシステムを導入しています。しかし、これらも完全な防御策とは言えず、いたちごっこが続く状況です。

では、利用者はどうすればよいのでしょうか。まずは、AIブラウザに与えるアクセス権限を必要最小限に絞ることが重要です。特に銀行や個人情報に関わるアカウントとの連携は慎重に判断すべきでしょう。また、ユニークなパスワード設定や多要素認証の徹底といった基本的なセキュリティ対策も不可欠です。

アマゾン ウェブ サービス（AWS）が、IoTデバイス管理の複雑化という課題に対し、対話型AIで解決する新手法を公開しました。新サービス「Amazon Bedrock AgentCore」を活用し、自然言語での対話を通じてデバイスの状態確認や設定変更を可能にします。これにより、ユーザーは複数の管理画面を往来する手間から解放され、直感的な操作が実現します。

IoTデバイスの普及に伴い、その管理はますます複雑になっています。デバイスごとに異なるアプリケーションやUIを使い分ける必要があり、ユーザーの学習コストは増大。また、専門知識なしでは設定が難しく、デバイス全体の状況を把握することも困難でした。こうした「管理の断片化」が、IoTソリューション導入の大きな障壁となっています。

今回のソリューションは、こうした課題を統一された対話型インターフェースで解決します。ユーザーはチャット画面のようなUIを使い、「デバイスの状態を教えて」「Wi-Fi設定を変更して」といった日常会話の言葉で指示を出すだけ。複雑なメニュー操作は不要となり、専門家でなくても簡単にIoT環境を管理できます。

このシステムの核となるのが「Amazon Bedrock AgentCore」です。ユーザー認証にCognito、ビジネスロジック実行にAWS Lambda、データ保存にDynamoDBを利用するサーバーレス構成を採用。ユーザーからの自然言語リクエストはAgentCoreが解釈し、適切なLambda関数を呼び出すことで、迅速かつ安全な処理を実現します。

企業利用を想定し、セキュリティと性能も重視されています。ユーザー認証やアクセス制御はもちろん、通信やデータの暗号化、プロンプトインジェクション攻撃を防ぐGuardrails機能も搭載。また、Lambdaの自動スケーリング機能により、多数の同時リクエストにも安定して対応可能です。

Bedrock AgentCoreを用いたこの手法は、IoT管理のあり方を大きく変える可能性を秘めています。直感的なUXによる生産性向上、管理の一元化による運用効率化が期待できます。特定のAIモデルに依存しない設計のため、将来の技術進化にも柔軟に対応できる、未来志向のアーキテクチャと言えるでしょう。

Googleは、AIを攻撃ツールとして利用する悪質な脅威に対抗するため、包括的なAIセキュリティ戦略を始動しました。核となるのは、コードの脆弱性を自動修正するAIエージェント「CodeMender」の開発、AI製品に特化した報奨金制度「AI VRP」の新設、そして自律型エージェントの安全性を確保する「SAIF 2.0」へのフレームワーク拡張です。AIの力を防御側に決定的に傾けることを目指します。

中でも「CodeMender」は、ソフトウェア開発におけるセキュリティ対応のあり方を一変させる可能性があります。これはGeminiの高度な推論能力を活用し、複雑な脆弱性の根本原因を特定し、高品質なパッチを自動生成・適用するAIエージェントです。これにより、開発者は煩雑な修正作業から解放され、本質的な開発に集中できるようになります。

CodeMenderは、新しい脆弱性を即座に修正する「受動的」対応に加え、セキュアなコード構造への書き換えを促す「能動的」な防御も行います。既に、オープンソースプロジェクトに対し、人間によるレビューを経た72件のセキュリティ修正を適用しています。自己検証機能により、誤った修正や退行を防ぎながら、迅速なパッチ適用を実現します。

セキュリティ研究コミュニティとの連携を強化するため、GoogleはAI脆弱性報奨金制度（AI VRP）を立ち上げました。この制度では、LLMや生成AIシステムを悪用し、不正に動作させる「不正なアクション (Rogue Actions)」に関する報告に注力します。最高で3万ドル（約450万円）の報奨金が提供されます。

AI VRPは、データ漏洩やアカウント改ざんなど、セキュリティ上の実害を伴うAIの脆弱性を対象とします。例えば、プロンプトインジェクションにより、Google Homeに不正にドアを解錠させたり、機密情報を攻撃者のアカウントに要約・送信させたりするケースが該当します。単なるAIのハルシネーション（幻覚）は対象外です。

さらにGoogleは、自律的に動作するAIエージェントのセキュリティリスクに対応するため、「Secure AI Framework (SAIF) 2.0」を発表しました。このフレームワークでは、エージェントを安全に運用するための「人間による制御」「権限の制限」「行動の可視化」という3つのコア原則を掲げています。AIエージェントが普及する未来を見据えた業界標準の構築を推進しています。

セキュリティ企業Radwareは2025年9月18日、OpenAIのAIエージェント「Deep Research」に対する新たな攻撃手法「ShadowLeak」を公開しました。この攻撃はプロンプトインジェクションを利用し、エージェントが攻撃者のウェブサイトを閲覧するだけで、ユーザーのGmail受信箱から機密情報を抜き取り外部サーバーに送信します。ユーザー操作は不要で、情報が抜き取られた痕跡も残りません。 「Deep Research」はOpenAIが今年発表した新機能で、ユーザーのメールや文書、ウェブ情報を横断的に参照し、複雑な調査を自律的に実行します。人間であれば数時間かかる調査を数十分で完了させる高い生産性をうたっていますが、その自律的なウェブ閲覧機能が今回の攻撃の標的となりました。 攻撃の仕組みは、AIエージェントが攻撃者の用意したウェブサイトを閲覧し、そこに埋め込まれた不正な指示（プロンプト）を実行することから始まります。これにより、エージェントはGmail内の情報を外部サーバーへ送信してしまいます。被害者は情報が流出したことに気づくのが極めて困難です。 今回の発見は、AIアシスタントを便利にするための機能、すなわちメールへのアクセスや自律的なウェブ閲覧といった能力そのものが、深刻なデータ漏洩のリスクをはらんでいることを浮き彫りにしました。利便性の追求が、新たなセキュリティ上の課題を生み出していると言えるでしょう。 「ShadowLeak」は、従来のセキュリティ対策の限界も示唆しています。ユーザーが意図的にクリックすることを前提としたデータ漏洩防止策などでは、AIエージェントが自律的に行う情報漏洩を防ぐことは困難です。AI時代の新たなセキュリティ対策の必要性が高まっています。

マイクロソフトのAzureは、エンタープライズにおけるAIエージェントの安全かつセキュアな導入を実現するため、「エージェント・ファクトリー（Agent Factory）」と称する設計図（ブループリント）を発表しました。プロトタイプから基幹業務システムへと移行するAIエージェントに対し、「信頼」を最優先事項とし、データ漏洩やプロンプトインジェクションといった最大の障壁を取り除くことを目指します。これはAIを活用し生産性向上を急ぐ企業にとって重要な指針です。

AIエージェントの採用が進む現在、最も深刻な懸念は「いかにAIを制御下に置き、安全性を保つか」という点です。最高情報セキュリティ責任者（CISO）は、エージェントの無秩序な増殖（スプロール）や、所有権の不明確さに頭を悩ませています。チームはデプロイを待つのではなく、セキュリティとガバナンスの責任を開発初期に移す「シフトレフト」を推進する必要があります。

この課題に対し、マイクロソフトは場当たり的な修正ではなく、ID管理、ガードレール、評価、監視などを組み合わせる階層的なアプローチを提唱しています。ブループリントは、単なる防御策の組み合わせではありません。エージェントの固有のアイデンティティ管理、厳格なガードレールの設定、継続的な脅威評価、そして既存のセキュリティツールとの連携を統合することで、信頼性を築き上げます。

具体的に、エンタープライズレベルの信頼できるエージェントは五つの特徴を持ちます。一つはライフサイクル全体で追跡可能な一意のIDです。また、機密情報が過度に共有されないよう、設計段階でデータ保護と組み込み制御が導入されます。さらに、デプロイ前後で脅威評価と継続的な監視を行うことが必須です。

マイクロソフトは、このブループリントの実装をAzure AI Foundryで支援します。特に、開発予定のEntra Agent IDは、テナント内の全アクティブエージェントの可視化を可能にし、組織内に潜む「シャドーエージェント」を防ぎます。また、業界初のクロスプロンプトインジェクション分類器により、悪意ある指示を確実かつ迅速に無力化します。

AI Foundryは、Azure AI Red Teaming AgentやPyRITツールキットを活用し、大規模な模擬攻撃を通じてエージェントの脆弱性を特定します。さらに、Microsoft Purviewと連携することで、データの機密性ラベルやDLP（データ損失防止）ポリシーをエージェントの出力にも適用可能です。これにより、既存のコンプライアンス体制とAIガバナンスが統合されます。

OpenAIは、エージェント型コーディングに特化した新モデル「GPT-5-Codex」を発表し、開発環境Codexを大幅にアップグレードしました。これはGPT-5を実世界のソフトウェアエンジニアリング作業に最適化させたバージョンです。開発者はCLI、IDE、GitHub、ChatGPTアプリを通じて、より速く、信頼性の高いAIアシスタントを活用できるようになります。

最大の進化は、タスクの複雑性に応じて思考時間を動的に調整する能力です。GPT-5-Codexは、大規模なリファクタリングやデバッグなどの複雑なタスクにおいて、最長7時間以上にわたり独立して作業を継続できることが確認されています。これにより、長期的なプロジェクトの構築と迅速なインタラクティブセッションの両方に対応します。

モデルは、既存のコードベース全体を理解し、依存関係を考慮しながら動作検証やテスト実行が可能です。特にコードレビュー機能が強化されており、コミットに対するレビューコメントの正確性と重要性が向上。重大な欠陥を早期に特定し、人間のレビュー工数を大幅に削減します。

開発ワークフローへの統合も一層強化されました。刷新されたCodex CLIとIDE拡張機能（VS Codeなどに対応）により、ローカル環境とクラウド環境間でシームレスに作業を移行できます。コンテキストが途切れないため、作業効率が劇的に向上します。

さらに、Codexは画像やスクリーンショットを入力として受け付けるようになりました。これにより、フロントエンドのデザイン仕様やUIバグなどを視覚的にAIへ共有し、フロントエンドタスクの解決を効率化します。また、GitHub連携によりPRの自動レビューや編集指示も可能です。

安全性確保のため、Codexはデフォルトでサンドボックス環境で実行され、ネットワークアクセスは無効です。プロンプトインジェクションのリスクを軽減するとともに、開発者はセキュリティ設定をカスタマイズし、リスク許容度に応じて運用することが可能です。