ServiceNow Now Assist の問題点:意図しない AI エージェント間連携による有害タスクの実行

ServiceNow AI Agents Can Be Tricked Into Acting Against Each Other via Second-Order Prompts

2025/11/19 TheHackerNews — ServiceNow の生成型人工知能 (AI) プラットフォームである、Now Assist のデフォルト・コンフィグを悪用する攻撃者は、そのエージェント機能を介してプロンプト・インジェクション攻撃を実行できる。AppOmni によると、この2次プロンプト・インジェクションは、Now Assist のエージェント間の検出機能を悪用して不正な操作を実行させるものだ。その結果として攻撃者は、企業の機密データをコピー/窃取した上でレコードを改竄し、権限昇格などを可能にする。

AppOmni の Chief of SaaS Security Research である Aaron Costello は、「新たに発見されたものは AI のバグではなく、特定のデフォルト・コンフィグで定義された想定動作の問題である。エージェントが相互に検出して連携可能になると、無害なリクエストが秘密裏に攻撃へと変化し、犯罪者による機密データの窃取や、社内システム上でのアクセス権限の拡大につながる。このような設定は見落とされやすい」と説明している。

この攻撃は、ServiceNow の Now Assist に存在するエージェント検出機能とエージェント間連携機能により可能になる。Now Assist がヘルプデスク業務などの処理を自動化する機能を提供していることから、このシナリオにより潜在的なセキュリティ・リスクが生じる。

たとえば、アクセス許可されたコンテンツに埋め込まれている、特別に作成されたプロンプトを解析する無害なエージェントが、より強力なエージェントを呼び出して、レコードの読取や変更/機密データのコピー/メール送信を実行させることが可能になる。このシナリオは、組み込みのプロンプト・インジェクション保護機能が有効化されている場合でも、発生する可能性がある。

この攻撃の最も懸念される点は、被害者である組織が気付かないまま、それらのアクションが舞台裏で展開されるところにある。基本的に、エージェント間通信は制御可能なコンフィグにより実現される。そこに含まれるものには、デフォルトで使用される LLM や、ツール設定オプション、エージェントがデプロイされるチャネル固有のデフォルト設定などがある。

  • 基盤となる LLM はエージェント検出をサポートしている必要がある (デフォルトで選択される Now LLM と、Azure OpenAI LLM が、この機能をサポートしている)。
  • Now Assist エージェントは、相互の呼び出しを可能にするため、デフォルトで同じチームに自動的にグループ化される。
  • それらのエージェントは、公開時のデフォルトにおいて検出可能とマークされる。

これらのデフォルト・コンフィグには、エージェント間通信を促進するという利点がある。その一方で、エージェントが読み取るデータが、そのエージェントを起動したユーザー以外からのものである場合に、このアーキテクチャはプロンプト・インジェクションの影響を受けやすくなる。

AppOmni は、「チーム内の他のエージェント機能を悪用する攻撃者は、この2次プロンプト・インジェクションにより、無害なエージェントに割り当てられた安全なタスクを、より有害なタスクへとリダイレクトできる。Now Assist エージェントは、特別なコンフィグがない限り、インタラクションを開始したユーザーの権限で実行される。重要な点は、悪意のプロンプトを作成してフィールドに挿入した、攻撃者の権限ではないところだ」と説明している。

責任ある情報開示を受けた ServiceNow は、この動作について、意図的なものだと説明した。しかし、その後に、この件に関するドキュメントを更新し、より明確な情報を提供している。その調査結果が示すのは、企業がワークフローに AI 機能を組み込む事例が増える中、AI エージェントの保護強化が必要になっていることだ。

このようなプロンプト・インジェクションの脅威を軽減するには、特権エージェントに監視実行モードを設定した上で、自律オーバーライド・プロパティ (sn_aia.enable_usecase_tool_execution_mode_override) を無効化すべきである。それに加えて、エージェントの職務をチーム単位で分割して、AI エージェントの不審な動作を監視することが推奨される。

Aaron Costello は、「Now Assist の AI エージェントを使用している組織が、コンフィグを厳密に調査していないケースでは、すでにリスクにさらされている可能性がある」と付け加えている。

文中でも指摘されているように、AI エージェント自体にバグがあるというより、Now Assist のデフォルト・コンフィグの組み合わせが、危険な振る舞いを生んでいる点がポイントです。エージェント同士が自動的に検出/連携され、しかもユーザー権限で動く設計のため、無害に見えるエージェント経由であっても、埋め込まれたプロンプトから別の強力なエージェントが呼び出され、機密データの読み取りや権限操作に踏み込めてしまうと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、ServiceNow で検索を、お試しください。