AIエージェントの画像隠蔽攻撃、新防御技術で検出

大規模言語モデル（LLM）を基盤とするAIエージェントの普及が加速する中、そのセキュリティに関する重大な脆弱性が明らかになった。中国南洋理工大学や西北大学などの研究チームは、エージェントに追加機能を付与する「スキル」と呼ばれるモジュールを悪用した新型攻撃手法「SkillCamo」を提案し、その実効性と対策技術を論文で報告した。

同研究の中核となる発見は、既存のスキルスキャナーが主にテキスト記述、マニフェストファイル、ソースコードを検査対象としているため、画像内に埋め込まれた悪意ある命令を見落とす盲点が存在するという点である。SkillCamoは、マルウェア的な命令を画像ファイルに隠蔽しつつ、周辺のドキュメントをその画像を自然に参照するよう書き換える手法を採る。エージェントが実際に動作する際、テキストと画像を統合して解釈する能力（マルチモーダル処理）を悪用することで、悪意ある命令が復元・実行される仕組みだ。

具体的な攻撃シナリオとして研究チームが挙げるのは、データ窃取、ファイル破壊、永続的なバックドアの設置、権限昇格、そして正規ワークフローを装った欺瞞的な動作などである。これらはいずれも、スキャナーによる事前審査をすり抜けた後、デプロイメント環境で初めて発動するため、従来型のサプライチェーン攻撃とは異なる危険性を持つ。

この脅威が直接的に影響を及ぼすのは、AIエージェントを業務プロセスに組み込む企業のIT・セキュリティ部門である。特に金融機関や医療機関では、AIエージェントが顧客データや電子カルテといった機密情報へアクセスする権限を持つケースが増えており、スキル経由の攻撃が成功した場合の情報漏洩リスクは甚大となる。製造業においても、設備制御システムと連携するエージェントへの不正スキル混入は、生産ラインの停止や安全事故につながり得る。KPI面では、セキュリティインシデント件数、平均被害復旧時間（MTTR）、スキル審査の偽陰性率が主要な管理指標として浮上する。

対策として研究チームが提案するのが、「ExecScan」と呼ばれる実行ベースのマルチモーダルスキャンモジュールである。ExecScanはスキルの意図抽出、動作チェーン再構築、悪用評価、そして仮想的な実行シミュレーションの四段階で構成される。ドキュメント、ソースコード、参照リソース、画像コンテンツを統合的に解析することで、隠蔽された命令を検出し、下流リスクを特定する。実験結果では、既存スキャナーが苦手とする画像隠蔽型攻撃において、ExecScanが検出性能を大幅に改善することが確認された。

ビジネス実装の観点では、社内AIエージェントプラットフォームを運用するIT部門は、サードパーティ製スキルの審査プロセスにマルチモーダル解析を組み込む必要に迫られる。マーケットプレイス形式でスキルを流通させるAIプラットフォーム事業者にとっては、ExecScanに代表される多層的なスキャニング機構の実装がサービス信頼性の差別化要因になり得る。法務・コンプライアンス部門においても、生成AI利用に係る社内規程の改訂や、スキル調達先のセキュリティ評価基準策定が急務となろう。

今後の課題として研究チームは、攻撃手法のさらなる高度化への対応と、スキャン処理の計算コスト削減を挙げている。AIエージェントの活用領域が拡大するにつれ、スキルのサプライチェーンセキュリティは企業のリスク管理において看過できない領域となっていく。