AI時代の新たな脅威「プロンプトインジェクション」ChatGPTが安全対策を強化

ChatGPT Atlasは2025年10月に一般公開されたAIブラウザで、ユーザーに代わってWebページの閲覧やフォーム操作などを行う「エージェントモード」を核心機能として持つ。この特性は便利さを提供する一方で、従来のブラウザとは異なる攻撃面を生むとOpenAIは説明している。エージェントが幅広い操作権限を持つため、プロンプトインジェクションの成功がユーザー操作の誤実行やデータ漏洩につながるリスクが高まると指摘されている。

OpenAIはプロンプトインジェクションの**「完全な解決は難しい」**との見解を示した。同社はこれを、Web上の詐欺やソーシャルエンジニアリングが巧妙化し続けるのと同様に根絶が困難な長期的課題と位置付けている。攻撃者がAIエージェントに意図しない命令を紛れ込ませる可能性は、構造的な性質として現状では完全に封じることはできないという。

こうした状況を踏まえ、OpenAIは自動化されたレッドチーミングを導入している。これは強化学習で訓練した「自動攻撃者」と呼ばれるAIシステムを用い、Atlasへの攻撃パターンを高速かつ大規模に探索し、そこから得られた脆弱性情報をもとに防御策を迅速に実装する仕組みである。自動攻撃者が生成した高度な攻撃シナリオに対して、敵対的訓練を施した新しいモデルチェックポイントや追加の防御策をユーザー環境に提供し、継続的な防御強化サイクルを形成している。

OpenAIはこうした高速対応ループ（迅速な対応サイクル）について、発見された攻撃手法を学習しモデル自体を改良することで現実世界のリスクを下げることを目標としていると説明した。対策の一環としてユーザー向けの注意事項も示している。具体的には、重要操作時にはログアウトモードでの利用を検討することや、確認プロンプトを慎重に確認すること、曖昧な広範な指示を避けることなどが推奨されている。

また、複数のセキュリティ報道では、AtlasのようなAIブラウザ全般において、プロンプトインジェクションのリスクが依然として消えないというOpenAIの発信が海外でも広く報じられている。OpenAIはプロンプトインジェクションを「AIブラウザが直面する深刻で継続的な脅威」と位置付け、その防御策を強化しながらも、完璧な安全性の保証には至っていないとの立場を示している。

このように、ChatGPT Atlasに対するセキュリティ対策は進展しているものの、プロンプトインジェクションのような深層的な攻撃パターンの排除は依然として困難であり、OpenAIは長期的な取り組みとして防御技術の強化と実装を続けている。