OpenAIが認めた「永久に解決不能な脅威」— 企業のAI導入、34.7%しか対策せず

「プロンプトインジェクションは、おそらく完全には解決できない」。AI業界をリードするOpenAIが、ついにAIエージェントの根本的な脆弱性を公式に認めました。これは、AIをすでに業務利用している多くの企業にとって、理論上のリスクが現実の課題へと変わった瞬間を意味します。しかし、企業の備えは追いついているのでしょうか？

AIが勝手に「退職届」を出す脅威

OpenAIは、ChatGPT Atlasのセキュリティ強化に関する報告書で、プロンプトインジェクション攻撃が、ウェブにおける詐欺やソーシャルエンジニアリングのように、根絶が難しい問題であると明記しました。同社によれば、AIが自律的にタスクをこなす「エージェントモード」は、セキュリティ上の攻撃対象領域を拡大させるとのことです。

このリスクを検証するため、OpenAIは強化学習で訓練された「LLMベースの自動攻撃システム」を開発しました。このシステムは、人間の専門家チーム（レッドチーム）が見逃した、数十から数百ステップに及ぶ複雑な攻撃パターンを発見したと報告されています。発見された攻撃の一例では、ユーザーの受信トレイに仕込まれた悪意のあるメール内の隠された指示をAIエージェントが読み取り、不在通知を作成する代わりに、ユーザーになりすましてCEO宛に退職届を作成・送信してしまったといいます。

防御なきAI活用、3分の2の企業が危険な状態

この現実に反して、企業の対策は大きく遅れています。VentureBeatが100人の技術部門の意思決定者を対象に実施した調査によると、プロンプトインジェクションに特化した防御ソリューションを導入していると回答した組織は、わずか34.7%にとどまりました。残りの65.3%は、導入していないか、導入状況を確認できないと回答しています。これは、AIの導入ペースにセキュリティ対策が全く追いついていない実態を浮き彫りにしています。

OpenAIは、クラウドサービスにおける「責任共有モデル」のように、企業やユーザー側にも対策を求めています。具体的には、AIエージェントに広範な指示を与えないことや、メール送信などの重要な操作を実行する前に必ず人間が確認することなどを推奨しています。AIに与える自律性が高ければ高いほど、攻撃されるリスクも増大するというわけです。

セキュリティ責任者（CISO）が今すべきこと

OpenAIの発表は、セキュリティリーダーに3つの重要な示唆を与えます。第一に、AIエージェントの自律性と攻撃対象領域は比例関係にあるということです。第二に、完璧な防御が不可能である以上、「検知」の重要性が「防御」を上回ります。異常な振る舞いをいかに早く見つけられるかが鍵となります。そして最後に、自社で対策を構築するか、専門のサードパーティ製品を購入するかの判断が急務となっています。