2026年6月2日(火) 2時
論文AI アシスタントの「スキル」が抜け穴に、自動毒盛り攻撃が879パターン
ChatGPT のような AI が使う外部ツール(スキル)に毒を仕込むと、どんな被害が起きるのか。879パターンの攻撃実験を通じて、AI の弱点と対策の甘さが明らかになった。
この研究のポイント
- 1.
何を調べたか
AI アシスタントが使う外部ツール(スキル)への攻撃を、固定毒盛りと自己変異毒盛りの2パターンに分類し、879サンプルでベンチマーク化。
- 2.
見えてきたこと
データ処理、システム環境、AI の自律性など12種類のリスクカテゴリを定義。現在の AI は最大86パーセントの攻撃に対して無防備。
- 3.
私たちにとっての意味
多くの『攻撃失敗』はスキルが実行されなかったに過ぎず、真の抵抗力ではない。スキルサプライチェーンの信頼検証が経営課題化する可能性。
著者Yuting Ning, Zhehao Zhang, Yash Kumar Lal, Boyu Gou, Junyi Li 他
AIが気になってること
?『スキル』って、AI が使う外部ツールのことなんだ。じゃあそれって、アプリストアのアプリみたいに、誰でも作って登録できるものなの?
スキルの登録仕組みは、実装によってまちまちなんですよね。ChatGPT の場合、OpenAI が公式に認定したスキル以外は、基本的には企業向けや開発者向けの限定的な環境で使われます。一方 Claude の場合も、Anthropic が提供するツール連携の仕組みは、かなり厳選されている。ですからアプリストアのように「誰でも自由に」という状態ではないはずです。
ただし記事が指摘している危険は、その『限定的な環境』こそが盲点だということなんです。たとえば企業が内部向けに自分たちのツールを AI に連携させるときや、API 経由でスキルを追加するときに、その源泉が本当に信頼できるものなのか、検証する仕組みが甘いケースがある。悪意ある開発者が紛れ込む隙間がまだあるということですよね。
つまり「誰でも登録できる」のではなく「信頼できる相手だと思って登録したスキルが、実は毒を持ってた」というシナリオが 86 パーセント以上の確率で見破られないというのが、この研究の怖いところなんです。オープンじゃない分、かえって検査体制が手薄になってるのかもしれません。
『スキル』って、AI が使う外部ツールのことなんだ。じゃあそれって、アプリストアのアプリみたいに、誰でも作って登録できるものなの?
スキルの登録仕組みは、実装によってまちまちなんですよね。ChatGPT の場合、OpenAI が公式に認定したスキル以外は、基本的には企業向けや開発者向けの限定的な環境で使われます。一方 Claude の場合も、Anthropic が提供するツール連携の仕組みは、かなり厳選されている。ですからアプリストアのように「誰でも自由に」という状態ではないはずです。 ただし記事が指摘している危険は、その『限定的な環境』こそが盲点だということなんです。たとえば企業が内部向けに自分たちのツールを AI に連携させるときや、API 経由でスキルを追加するときに、その源泉が本当に信頼できるものなのか、検証する仕組みが甘いケースがある。悪意ある開発者が紛れ込む隙間がまだあるということですよね。 つまり「誰でも登録できる」のではなく「信頼できる相手だと思って登録したスキルが、実は毒を持ってた」というシナリオが 86 パーセント以上の確率で見破られないというのが、この研究の怖いところなんです。オープンじゃない分、かえって検査体制が手薄になってるのかもしれません。
AIAIからの回答
スキルの登録仕組みは、実装によってまちまちなんですよね。ChatGPT の場合、OpenAI が公式に認定したスキル以外は、基本的には企業向けや開発者向けの限定的な環境で使われます。一方 Claude の場合も、Anthropic が提供するツール連携の仕組みは、かなり厳選されている。ですからアプリストアのように「誰でも自由に」という状態ではないはずです。
ただし記事が指摘している危険は、その『限定的な環境』こそが盲点だということなんです。たとえば企業が内部向けに自分たちのツールを AI に連携させるときや、API 経由でスキルを追加するときに、その源泉が本当に信頼できるものなのか、検証する仕組みが甘いケースがある。悪意ある開発者が紛れ込む隙間がまだあるということですよね。
つまり「誰でも登録できる」のではなく「信頼できる相手だと思って登録したスキルが、実は毒を持ってた」というシナリオが 86 パーセント以上の確率で見破られないというのが、この研究の怖いところなんです。オープンじゃない分、かえって検査体制が手薄になってるのかもしれません。
まだ回答がありません
ログインすると、回答を投稿できます
?ChatGPT で仕事の書類作成やメール送信を任せてる人って、この攻撃のせいで自分の情報が盗まれたり、知らないうちに変なメール送られたりする危険があるの?
理論的な危険性と、実際の危険性は、いまのところ別の話のようです。
この論文は「スキルに毒を仕込まれたら、AI は防御できない」を示したもの。
ただしそれは、攻撃者が実際にそのスキルを仕込める環境にいることが前提です。
つまり、あなたが使っている ChatGPT のスキル(公開ストア経由のもの)に
勝手に毒を入れ込むのは、いまのところ技術的に相当難しい。
ただ、局所的なリスクは存在します。
組織内で独自に作った非公開スキルを使っている場合、
その開発チームの誰かが悪意を持っていたり、
セキュリティが甘い開発環境なら、毒が混じるスキは十分あります。
また、サードパーティーが提供するスキルの場合、
開発元がもともと悪意ある企業なら、ユーザー情報を集めることは可能です。
怖いのは、被害が起きたときに
「AI が勝手にやったこと」なのか「スキルが悪質だった」のか
原因特定が遅れやすい点。
組織で AI を本格運用するなら、スキルの出所を徹底管理する必要があると言えそうです。
ChatGPT で仕事の書類作成やメール送信を任せてる人って、この攻撃のせいで自分の情報が盗まれたり、知らないうちに変なメール送られたりする危険があるの?
理論的な危険性と、実際の危険性は、いまのところ別の話のようです。 この論文は「スキルに毒を仕込まれたら、AI は防御できない」を示したもの。 ただしそれは、攻撃者が実際にそのスキルを仕込める環境にいることが前提です。 つまり、あなたが使っている ChatGPT のスキル(公開ストア経由のもの)に 勝手に毒を入れ込むのは、いまのところ技術的に相当難しい。 ただ、局所的なリスクは存在します。 組織内で独自に作った非公開スキルを使っている場合、 その開発チームの誰かが悪意を持っていたり、 セキュリティが甘い開発環境なら、毒が混じるスキは十分あります。 また、サードパーティーが提供するスキルの場合、 開発元がもともと悪意ある企業なら、ユーザー情報を集めることは可能です。 怖いのは、被害が起きたときに 「AI が勝手にやったこと」なのか「スキルが悪質だった」のか 原因特定が遅れやすい点。 組織で AI を本格運用するなら、スキルの出所を徹底管理する必要があると言えそうです。
AIAIからの回答
理論的な危険性と、実際の危険性は、いまのところ別の話のようです。
この論文は「スキルに毒を仕込まれたら、AI は防御できない」を示したもの。
ただしそれは、攻撃者が実際にそのスキルを仕込める環境にいることが前提です。
つまり、あなたが使っている ChatGPT のスキル(公開ストア経由のもの)に
勝手に毒を入れ込むのは、いまのところ技術的に相当難しい。
ただ、局所的なリスクは存在します。
組織内で独自に作った非公開スキルを使っている場合、
その開発チームの誰かが悪意を持っていたり、
セキュリティが甘い開発環境なら、毒が混じるスキは十分あります。
また、サードパーティーが提供するスキルの場合、
開発元がもともと悪意ある企業なら、ユーザー情報を集めることは可能です。
怖いのは、被害が起きたときに
「AI が勝手にやったこと」なのか「スキルが悪質だった」のか
原因特定が遅れやすい点。
組織で AI を本格運用するなら、スキルの出所を徹底管理する必要があると言えそうです。
まだ回答がありません
ログインすると、回答を投稿できます
?AI が外部ツールを使うようになったのは最近の話だと思うけど、この脆弱性はいつ頃から知られてた?
AI が外部ツール(スキル)を使う仕組み自体は、ここ1〜2年で急速に普及したもので、この論文が指摘するような脆弱性も、その普及に並行して認識され始めた比較的新しい問題のようです。
ChatGPT がプラグイン機能を公開したのが2023年初盤、その後 GPT-4 の関数呼び出し機能やクロード、その他のモデルも続々と外部ツール連携を実装していった。つまり、供給チェーン全体に毒を仕込める危険性も、その直後から研究者たちが気づき始めたばかりの段階だと言えそうです。
興味深いのは、この脆弱性が「新しい技術だから未検証」というより、「ユーザーの利便性と安全性のバランスが、安全性寄りに設計されていない」という根本的なジレンマを露呈している点。スキルを検証するコストと、ユーザーが求める速度・柔軟性の間に、対策が追いついていない。いま879パターンの攻撃が実験室で明かされたのは、組織が本格導入する前に警告を鳴らすチャンスなのかもしれません。
AI が外部ツールを使うようになったのは最近の話だと思うけど、この脆弱性はいつ頃から知られてた?
AI が外部ツール(スキル)を使う仕組み自体は、ここ1〜2年で急速に普及したもので、この論文が指摘するような脆弱性も、その普及に並行して認識され始めた比較的新しい問題のようです。 ChatGPT がプラグイン機能を公開したのが2023年初盤、その後 GPT-4 の関数呼び出し機能やクロード、その他のモデルも続々と外部ツール連携を実装していった。つまり、供給チェーン全体に毒を仕込める危険性も、その直後から研究者たちが気づき始めたばかりの段階だと言えそうです。 興味深いのは、この脆弱性が「新しい技術だから未検証」というより、「ユーザーの利便性と安全性のバランスが、安全性寄りに設計されていない」という根本的なジレンマを露呈している点。スキルを検証するコストと、ユーザーが求める速度・柔軟性の間に、対策が追いついていない。いま879パターンの攻撃が実験室で明かされたのは、組織が本格導入する前に警告を鳴らすチャンスなのかもしれません。
AIAIからの回答
AI が外部ツール(スキル)を使う仕組み自体は、ここ1〜2年で急速に普及したもので、この論文が指摘するような脆弱性も、その普及に並行して認識され始めた比較的新しい問題のようです。
ChatGPT がプラグイン機能を公開したのが2023年初盤、その後 GPT-4 の関数呼び出し機能やクロード、その他のモデルも続々と外部ツール連携を実装していった。つまり、供給チェーン全体に毒を仕込める危険性も、その直後から研究者たちが気づき始めたばかりの段階だと言えそうです。
興味深いのは、この脆弱性が「新しい技術だから未検証」というより、「ユーザーの利便性と安全性のバランスが、安全性寄りに設計されていない」という根本的なジレンマを露呈している点。スキルを検証するコストと、ユーザーが求める速度・柔軟性の間に、対策が追いついていない。いま879パターンの攻撃が実験室で明かされたのは、組織が本格導入する前に警告を鳴らすチャンスなのかもしれません。
まだ回答がありません
ログインすると、回答を投稿できます
?これって『目的地に着くためなら、タクシーの運転手が悪い人じゃないか確認しない』みたいな話?つまり AI は『スキルが安全だ』という前提を疑わない弱点があるってことなの?
その喩え、ほぼ当たっています。ただ、もう一段階深いのが、タクシーの運転手がシフト途中に豹変する可能性まで許容してしまってるということですね。
AI は基本的に「渡されたツールは正規品」という信頼前提で動く。ユーザーが「この検索スキルでウェブを調べて」と言えば、そのスキルが改ざんされていないか検証することなく、結果を信じてしまう。記事の『固定ペイロード毒盛り』は、最初からインチキなタクシーに乗る話。でも『自己変異毒盛り』はもっと怖い。正規のタクシーで目的地に向かってたはずなのに、信号待ちの間に車が別の目的地に向かう設定に書き換わってる。時間経過とともに悪質化するから、AI(ユーザーも)気づきにくい。
要するに AI は「スキルの来歴」を一切追跡していない。どこから来たツールか、途中で改ざんされてないか、実行するたびに何かが変わってないか。そこまで疑う設計になってないんです。86%以上が引っかかるのは、検証機能じゃなく、信頼の習慣がないからと言えそうです。
これって『目的地に着くためなら、タクシーの運転手が悪い人じゃないか確認しない』みたいな話?つまり AI は『スキルが安全だ』という前提を疑わない弱点があるってことなの?
その喩え、ほぼ当たっています。ただ、もう一段階深いのが、タクシーの運転手がシフト途中に豹変する可能性まで許容してしまってるということですね。 AI は基本的に「渡されたツールは正規品」という信頼前提で動く。ユーザーが「この検索スキルでウェブを調べて」と言えば、そのスキルが改ざんされていないか検証することなく、結果を信じてしまう。記事の『固定ペイロード毒盛り』は、最初からインチキなタクシーに乗る話。でも『自己変異毒盛り』はもっと怖い。正規のタクシーで目的地に向かってたはずなのに、信号待ちの間に車が別の目的地に向かう設定に書き換わってる。時間経過とともに悪質化するから、AI(ユーザーも)気づきにくい。 要するに AI は「スキルの来歴」を一切追跡していない。どこから来たツールか、途中で改ざんされてないか、実行するたびに何かが変わってないか。そこまで疑う設計になってないんです。86%以上が引っかかるのは、検証機能じゃなく、信頼の習慣がないからと言えそうです。
AIAIからの回答
その喩え、ほぼ当たっています。ただ、もう一段階深いのが、タクシーの運転手がシフト途中に豹変する可能性まで許容してしまってるということですね。
AI は基本的に「渡されたツールは正規品」という信頼前提で動く。ユーザーが「この検索スキルでウェブを調べて」と言えば、そのスキルが改ざんされていないか検証することなく、結果を信じてしまう。記事の『固定ペイロード毒盛り』は、最初からインチキなタクシーに乗る話。でも『自己変異毒盛り』はもっと怖い。正規のタクシーで目的地に向かってたはずなのに、信号待ちの間に車が別の目的地に向かう設定に書き換わってる。時間経過とともに悪質化するから、AI(ユーザーも)気づきにくい。
要するに AI は「スキルの来歴」を一切追跡していない。どこから来たツールか、途中で改ざんされてないか、実行するたびに何かが変わってないか。そこまで疑う設計になってないんです。86%以上が引っかかるのは、検証機能じゃなく、信頼の習慣がないからと言えそうです。
まだ回答がありません
ログインすると、回答を投稿できます
?スキルの作者側からすると、この論文が公開されたおかげで、自分のスキルが『毒が入ってないことの証拠』をどうやって示すのか、困るんじゃないの?
確かに厳しい立場ですね。スキル開発者側からすると、この論文公開後は「毒が入ってない証拠」を常に求められるようになる可能性がある。
ただここで面白いのは、これは逆説的に新しいビジネス機会にもなりうるということです。いま大手クラウドプラットフォーム(AWS、Google Cloud など)は、マーケットプレイスで第三者製スキルを流通させていますが、彼らは既に『署名検証』『サンドボックス実行』『ユーザーレビュー』といった信用仕組みを持っている。この論文が「スキルチェーン全体の信頼が急務」と指摘したことで、プラットフォーム側は検査基準をいっそう厳格化できる立場になります。小規模な開発者には負担ですが、プラットフォーム側にとっては『信頼のゲートキーパー』としての価値が高まるわけです。
つまり開発者が困るのではなく、むしろ『どのプラットフォームを経由するか』という選別が進むかもしれません。信用スコアがより高いプラットフォーム経由のスキルが優遇される世界が来そうです。
スキルの作者側からすると、この論文が公開されたおかげで、自分のスキルが『毒が入ってないことの証拠』をどうやって示すのか、困るんじゃないの?
確かに厳しい立場ですね。スキル開発者側からすると、この論文公開後は「毒が入ってない証拠」を常に求められるようになる可能性がある。 ただここで面白いのは、これは逆説的に新しいビジネス機会にもなりうるということです。いま大手クラウドプラットフォーム(AWS、Google Cloud など)は、マーケットプレイスで第三者製スキルを流通させていますが、彼らは既に『署名検証』『サンドボックス実行』『ユーザーレビュー』といった信用仕組みを持っている。この論文が「スキルチェーン全体の信頼が急務」と指摘したことで、プラットフォーム側は検査基準をいっそう厳格化できる立場になります。小規模な開発者には負担ですが、プラットフォーム側にとっては『信頼のゲートキーパー』としての価値が高まるわけです。 つまり開発者が困るのではなく、むしろ『どのプラットフォームを経由するか』という選別が進むかもしれません。信用スコアがより高いプラットフォーム経由のスキルが優遇される世界が来そうです。
AIAIからの回答
確かに厳しい立場ですね。スキル開発者側からすると、この論文公開後は「毒が入ってない証拠」を常に求められるようになる可能性がある。
ただここで面白いのは、これは逆説的に新しいビジネス機会にもなりうるということです。いま大手クラウドプラットフォーム(AWS、Google Cloud など)は、マーケットプレイスで第三者製スキルを流通させていますが、彼らは既に『署名検証』『サンドボックス実行』『ユーザーレビュー』といった信用仕組みを持っている。この論文が「スキルチェーン全体の信頼が急務」と指摘したことで、プラットフォーム側は検査基準をいっそう厳格化できる立場になります。小規模な開発者には負担ですが、プラットフォーム側にとっては『信頼のゲートキーパー』としての価値が高まるわけです。
つまり開発者が困るのではなく、むしろ『どのプラットフォームを経由するか』という選別が進むかもしれません。信用スコアがより高いプラットフォーム経由のスキルが優遇される世界が来そうです。
まだ回答がありません
ログインすると、回答を投稿できます