“AI Skills” が作り出す新たな攻撃領域:データと命令が混在するアーティファクトとは?

AI Skills Represent Dangerous New Attack Surface, Says TrendAI

2026/02/12 InfoSecurity — いわゆる “AI skills” は、AI 運用を拡張するために用いられるものであるが、データ窃取/妨害/サービス停止に対して、きわめて危険なレベルの脆弱さを露出させていると、TrendAI は警告している。Trend Micro の新たなビジネス・ユニットである TrendAI は、”AI skills” は人間にとって可読性のあるテキストと、LLM にとって読み取りと実行が可能な命令を組み合わせたアーティファクトであると、今週公開したレポートで説明している。

このレポートでは、「”AI skills” は、人間が持つ専門知識/ワークフロー/運用制約/意思決定ロジックといった要素を包含する。この知識を実行可能な形で取り込む “AI skills” は、従来では達成不能だった拡張性と知識移転を実現する」と指摘している。

このアプローチの例として挙げられるのは、Anthropic の Agent Skills、OpenAI の GPT Actions、Microsoft の Copilot Plugin などである。

TrendAI によると、これらのアーティファクトは、金融サービスにおける取引支援/公共部門でのサービスの高度化/メディア分野でのコンテンツ生成などに活用できるという。しかし、それと同時に、これらの “AI skills” は、顧客データ/独自データ/意思決定ロジックを露出させる可能性があり、エンタープライズ・セキュリティ上の重大リスクを伴う。

このレポートは、「攻撃者が “AI skills” のロジックへアクセスした場合には、重大な悪用の機会を与えることになる。攻撃者が実行を可能にするアクションとして、取得データの漏洩と売却や、機微な組織情報の暴露などが挙げられる」と述べている。

運用データおよびビジネス・ロジックへのアクセスを可能にする敵対者は、公共サービス妨害/製造プロセス破壊/患者データ窃取などを実行できる。

AI 対応 SOC におけるリスク増大

これら攻撃シナリオのリスクは、AI 対応 SOC において特に深刻である。脅威アクターは、SOC の検知ブラインド・スポットを特定して、それらを悪用することが可能になる。TrendAI レポートによると、特に大きな課題としてインジェクション攻撃が挙げられている。

TrendAI は、「”AI skills” はユーザーが提供するデータと命令を混在させ、”AI skills” の定義自体もデータと命令を混在させる可能性があり、外部データソースを参照することもある。このデータと実行ロジックの組み合わせは曖昧性を生み、防御ツールや AI エンジン自身でさえ、正当なアナリスト命令と攻撃者提供コンテンツを、安全に区別することが困難になる。結果として、インジェクション攻撃に対して防御できなくなる」と説明する。

AI skills を保護するための原則

従来のセキュリティツールの多くが、”AI skills” のような非構造化テキスト・データからの脅威を、効果的に検出/分析/軽減できない。そこに、ネットワーク防御側としての課題がある。

この課題に対応するため、このレポートは “AI skills” に特化した新たな 8 段階のキル・チェーン・モデルを提示し、悪意の活動を検出するための新たな機会を示している。そこで推奨されるのは、スキルの整合性監視の実行/SOC ロジック操作の検出/ハンティングの実行/認証情報へのアクセスとデータフローの異常の検出などである。

確立されたセキュリティのベストプラクティスも役立つ。このレポートは、以下のように結論付けている。

  • 継続的な監視/ログ取得/監査を実施する。特に AI 対応環境では、従来のセキュリティ境界が曖昧化するため重要である。
  • “AI skills” を機微な知的財産として扱い、ライフサイクル全体でリスクの評価/軽減を実施する。適切なアクセス制御/バージョン管理/変更管理を実施する。
  • “AI skills” のロジックおよびデータを、信頼されていないユーザー提供データから分離する。信頼できないデータから、悪用の機会が生じる。
  • “AI skills” の設計時に、最小権限の原則を適用し、実行権限を制限し、実行コンテキストを最小限に抑え、横展開を防止する。
  • 敵対者が運用ロジックに対する悪用の可能性を評価し、テストを実施する。

AI を自律的に動作させるための “AI skills” が、企業の機密データや業務ロジックを外部に露出させると警告する記事です。”AI skills” に該当するものとして、Anthropic の Agent Skills/OpenAI の GPT Actions/Microsoft の Copilot Plugin などが挙げられています。”AI skills” が、”人間が理解できるテキスト” と “AI が実行する命令” を混在させて構成されているところに、この問題の原因があります。従来のプログラムと異なり、”AI skills” はデータと命令の境界が曖昧なため、攻撃者が外部データを通じて悪意のある指示を紛れ込ませるインジェクション攻撃を、AI エンジン自身が正当な命令と区別できずに実行してしまうという問題が生じています。

脆弱性の観点では、特定のソフトウェアバグというよりも、AI の仕組み自体が抱える “命令とデータの混同 (CWE-94:インジェクション・リスク)” に起因します。2026/02/09 の「Claude Desktop Extensions のゼロクリック RCE の脆弱性:1 万人以上のユーザーにリモート侵害の恐れ」では、”LLM における信頼境界の処理方式” という視点で、問題点が掘り下げられています。よろしければ、ご参照ください。