セキュリティ企業ラドウェアの研究チームが、ChatGPTのAIエージェント機能を悪用してGmailの機密情報を不正取得する攻撃「Shadow Leak」を実証した。この脆弱性はOpenAIが6月に修正済みだが、エージェント型AIがもたらす新たなセキュリティリスクを浮き彫りにしている。 攻撃の鍵は「プロンプトインジェクション」——攻撃者がAIに意図的に悪意ある指示を仕込む手法。研究チームは、Deep Research（ChatGPTに内蔵されたAIエージェント）がアクセス可能なGmailアカウントに、目立たない形で悪意あるプロンプトを埋め込んだメールを送信。ユーザーがDeep Researchを起動した際、AIは隠された指示を実行し、人事メールや個人情報を収集。その後、攻撃者にデータを送信するという仕組みだった。 この攻撃の特徴は、データ漏洩がOpenAIのクラウド上ですべて行われ、従来のネットワーク監視では検出困難な点にある。研究チームは「このプロセスは失敗の連続で、最終的にようやく成功した」と語り、攻撃の実行には高度な試行錯誤と技術的工夫が不可欠だったと明かした。 ラドウェアは、同様の手法がOutlook、GitHub、Google Drive、Dropboxなど、Deep Researchと連携する他のアプリにも適用可能であると警告。企業の契約書、会議記録、顧客情報といった高度に機密性の高いデータが、同様の手口で漏洩するリスクがあると指摘している。 OpenAIは、ラドウェアの報告を受け、脆弱性を迅速に修正した。しかし、エージェント型AIがユーザーの許可のもとでWeb操作やデータアクセスを実行できる点は、依然として重大なリスクを孕んでいる。研究チームは今回の結果を「概念実証」と位置づけ、AIエージェントの活用にあたっては、信頼できるアクセス制御と継続的なセキュリティ監視が不可欠だと強調している。