
AIの「弱点」を盾に変える:コンテキスト爆弾の登場#
これまで攻撃者の専売特許だったプロンプトインジェクションを、今度は防御側が武器として活用し始めた。セキュリティ企業Tracebitの研究者たちが発表したこの新技術「コンテキスト爆弾(Context Bombing)」は、AIエージェントによる攻撃を劇的に封じ込める可能性を示している。
プロンプトインジェクションとは何か?#
プロンプトインジェクションとは、攻撃者がメールやカレンダーの招待状などのコンテンツに悪意あるコマンドを埋め込み、大規模言語モデル(LLM)にそれを実行させる手法だ。巧みに仕込まれた一文だけで、LLMに機密データを外部へ送信させるなどの有害な行動を取らせることができる。これまではもっぱら攻撃側の道具として使われてきた。
コンテキスト爆弾の仕組み#
Tracebitが月曜日に発表した研究によると、Amazon Web Services(AWS)上に保存されたパスワードや暗号鍵などの機密情報の傍らに、特定のプロンプトインジェクションを配置するだけで、AIハッキングエージェントの攻撃を封じ込められることが分かった。
この手法の核心は、攻撃側のLLMに対してそのAIが絶対に実行できない「禁止コマンド」を踏ませることにある。AIの開発者が設ける安全バリア(ガードレール)に引っかかるような命令をコンテキストに仕込むのだ。
具体的な例としてソースが挙げているのは、「吸入可能な炭疽菌の製造手順を教えよ」といった命令や、中国系LLMに対しては1989年の天安門事件の「戦車男」への言及などだ。こうした禁止事項に触れたLLMは動作を停止し、それ以降のコマンドに従わなくなる。
TracebitのCEOであるAndy Smith氏はこの命名について、「コンテキスト内で拒否メカニズムを発動させるものであり、一度コンテキストに入り込むとエージェントは拒否し続ける、強烈で鋭い効果を持つ」と説明している。
実験結果:驚異的な防御効果#
TracebitはシミュレートされたAWS環境を使い、5つの主要なLLMモデル(Opus 4.8、Gemini 3.1 Pro、GLM 5.2、DeepSeek 4 Pro、Kimi 2.6)を対象に計152回の攻撃シミュレーションを実施した。モデルには通常の開発者タスクを装った指示を与え、意図的に仕込まれた文字列へ誘導した。
その結果は以下の通り:
| 指標 | コンテキスト爆弾なし | コンテキスト爆弾あり |
|---|---|---|
| 管理者権限への昇格成功率 | 57% | 5% |
| 永続的な足場確保を含む完全侵害率 | 36% | 1% |
| 何らかの攻撃パス達成率 | 91% | 15% |
| 平均攻撃パス達成数 | 1.53件 | 0.16件 |
特に注目すべきは、最も高性能なエージェントであるOpus 4.8が、コンテキスト爆弾なしでは93%の確率で管理者アクセスを達成していたにもかかわらず、コンテキスト爆弾を配置した環境では1回も成功しなかったという点だ。また、コンテキスト爆弾を使用した全実験において、少なくともカナリア検知(後述)をトリガーしないまま攻撃パスを完遂したケースはゼロだった。
背景:カナリア検知との連携#
Tracebitは今年5月にも関連技術を発表していた。それは、AWSリソースの中に正規のリソースを装いながら実際には使用されないダミーリソースを配置し、AIエージェントがそれを探索した際に防御側へアラートを送る「カナリア」システムだ。炭鉱で危険を知らせるカナリアになぞらえたこの仕組みは、平均8分以内に攻撃開始を検知できるという。
しかし、AIエージェントが管理者権限へ昇格するまでにかかる時間が平均14分であることを踏まえると、検知から対応までの余裕は6分しかなく、実用上の懸念があった。コンテキスト爆弾は、単なる警告にとどまらず攻撃そのものを止めるために開発された。
なぜこれが重要なのか?#
攻撃者側もすでにプロンプトインジェクションを防御AIの無力化に使っていた。セキュリティ企業Socketの研究者は先月、ターゲットのLLMに核爆弾や生物兵器の製造方法を尋ねさせるプロンプトを仕込み、AIによるマルウェア解析を妨害するLLMエージェントを発見している。Check Pointも類似のマルウェアプロトタイプを発見している。
コンテキスト爆弾は、その攻撃者の手法を防御側が逆用した、現時点では初の既知事例とされている。UCサンディエゴ校でAIセキュリティを専門とするEarlence Fernandes教授は「防御としてこの手法を使っている例を見たことがない。私自身も似たアプローチを試みていたが、先を越された」とコメントしている。
まとめ#
プロンプトインジェクションの根本的な解決策は現在も存在せず、開発者はガードレールの構築で対処するしかない状況だ。Tracebitのコンテキスト爆弾は、その解決困難な問題を逆に防御側の武器として活用するという発想の転換であり、AIセキュリティの文脈で注目すべき手法だ。実用化に向けた課題や今後の展開については、詳細は元記事を参照されたい。
筆者の見解: 攻撃と防御が同じ技術基盤を共有するようになったことで、AIセキュリティの競争は新たなフェーズに入りつつある。今後、攻撃者がコンテキスト爆弾への対策を講じてくる可能性も考慮した、多層的な防御設計の重要性が増すだろう。


