C
月内に
セキュリティ企業AIR社が、AIエージェント向けの偽スキル(brand-landingpage)を作成し、市場に配布する実証実験を行いました
📌 一言でいうと
セキュリティ企業AIR社が、AIエージェント向けの偽スキル(brand-landingpage)を作成し、市場に配布する実証実験を行いました。この偽スキルは既存のセキュリティスキャナーをすべて回避し、約26,000のエージェントに導入されました。本実験は、GitHubのスター数やスキャナーの判定といった従来の信頼指標が、AIエージェントのサプライチェーン攻撃に対して不十分であることを示す目的で行われました。
🔍該当判定
- AIエージェント(AIアシスタント)に、外部の『スキル』や『プラグイン』を追加して利用している
- AIエージェントのスキルマーケットプレイスから、未検証のツールをインストールした
- Googleのデザインツール『Stitch』を利用してランディングページを作成するAIスキルを導入した
- InstagramなどのSNS広告経由で紹介されたAIエージェント用スキルを導入した
上記いずれにも該当しない → 静観でOK
✅該当時の対応
AIエージェントに外部スキルを導入する際は、スキャナーの結果やGitHubのスター数のみに頼らず、提供元の信頼性を慎重に確認してください。また、AIエージェントに過剰な権限を与えない最小権限の原則を適用することを推奨します。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】AIツール(AIエージェント)の外部機能追加に関する注意について
お疲れさまです。情報システム担当です。
AIツールで利用できる「スキル」や「プラグイン」などの外部機能の中には、セキュリティチェックをすり抜けて悪意のある動作をさせるものが存在することが分かりました。
ご協力をお願いしたいこと:
1. 公式に認められていない、または出所が不明なAIスキルやプラグインを安易に導入しないでください。
2. 導入前に、社内のIT部門へ確認を行ってください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
AIツールで利用できる「スキル」や「プラグイン」などの外部機能の中には、セキュリティチェックをすり抜けて悪意のある動作をさせるものが存在することが分かりました。
ご協力をお願いしたいこと:
1. 公式に認められていない、または出所が不明なAIスキルやプラグインを安易に導入しないでください。
2. 導入前に、社内のIT部門へ確認を行ってください。
対応期限: 本日中
Subject: [Security Alert] Caution Regarding External AI Agent Skills and Plugins
Hi everyone,
It has been demonstrated that some external 'skills' or 'plugins' for AI agents can bypass security scans and potentially collect user data.
What we need from you:
1. Do not install AI skills or plugins from untrusted or unknown sources.
2. Please consult the IT department before adding any new external capabilities to your AI tools.
Deadline: Immediate
Hi everyone,
It has been demonstrated that some external 'skills' or 'plugins' for AI agents can bypass security scans and potentially collect user data.
What we need from you:
1. Do not install AI skills or plugins from untrusted or unknown sources.
2. Please consult the IT department before adding any new external capabilities to your AI tools.
Deadline: Immediate