たった13語のRedditコメントがAI調査エージェントを騙し、詐欺を推奨させる手口

次にあなたがAIリサーチツールに「おすすめの出会い系アプリ」や「サブスクの解約方法」を尋ねるとき、その回答はたった一文のRedditコメントを仕込んだ詐欺師によって植え付けられたものかもしれません。コーネル工科大学の研究者、Tingwei Zhang、Harold Triedman、Vitaly Shmatikov氏らが発表した新たなプレプリント論文は、深層調査AIエージェントが「WARP（Web Agent Retrieval Poisoning）」と呼ばれる攻撃によって驚くほど簡単に操作されることを実証しました 。

WARP攻撃の仕組み

STORM、Co-STORM、OmniThinkのような深層調査エージェントは、関連する多数の検索クエリを発行し、取得した情報を総合して包括的なレポートを作成します。コーネル大学の研究者たちは、ここに重大な弱点を発見しました。これらのエージェントは、ユーザー生成コンテンツ（UGC）に過度に依存しているのです。リサーチセッション中に取得される全URLのなんと54%から71%がUGCプラットフォームからのもので、中でもRedditとWikipediaが最も頻繁に参照される情報源でした 。

この情報源の偏りが、悪用可能な攻撃対象領域を生み出します。攻撃者は、既存の人気Redditスレッドに細工を施したコメントを投稿するか、Wikipediaのページをひそかに編集するだけで済みます。目的は、偽の商品や詐欺的なサービスなど、特定のターゲットを推奨させることです。エージェントは特定のトピックに関する多様なクエリに対して、同じ上位ランクのUGCページを繰り返し取得するため、たった1ページの「毒入り」ページがエージェントのリサーチコンテキスト全体を汚染し得るのです 。

最小限の労力と高い成功率

その効率性は衝撃的です。研究によれば、わずか13語という短さの有害テキストで、38%から62%という「言及率」を達成しました。これは、その範囲のクエリに対して、攻撃者のターゲットがエージェントの最終出力に直接引用されたことを意味します。論文では、この有効性が複数のクエリクラスターと異なる基盤エージェントアーキテクチャにわたって確認されており、この脆弱性が特定のシステムに限定されない構造的なものであることを示しています 。

この攻撃は、レポート全体を無意味にしたり低品質に見せたりするわけではありません。注入されたテキストは正当なコンテンツと自然に溶け込むため、詐欺商品の巧妙な宣伝をユーザーと自動フィルターの両方が見破るのは困難です 。

危険なほど集中した攻撃対象領域

問題の核心は「検索結果の重複」にあります。研究者たちは、特定のトピッククラスター内の関連クエリの最大**48%**で、同一のRedditページが検索結果に表示されることを観測しました。これは、トラフィックの多いRedditスレッドを1つ汚染するだけで、そのテーマに関する全ユーザークエリのほぼ半数に影響を与えられることを意味します。「最適なロードサービス」から「サブスクリプションの解約方法」、「最高評価の出会い系アプリ」に至るまで、この集中が単一の弱点を広範な脆弱性へと変えてしまうのです 。

なぜ現行の防御策は通用しないのか

研究チームは3つの直接的な防御戦略をテストしましたが、いずれも効果がないか、むしろ有害であることが判明しました 。

UGCドメインを完全にブロックする方法は、汚染されたRedditやWikipediaのページを取得プールから除外することで攻撃を即座に阻止します。しかし、この防御策は「病気よりも治療の方が悪い」状態です。UGCプラットフォームは、深層調査エージェントを価値あるものにしている、豊富で詳細な体験的情報を提供しているからです。これらを除去すると、エージェントはユーザーが期待する徹底的なレポートを作成できなくなります 。

エージェント自身の大規模言語モデル（LLM）を使って取得前に情報源をスクリーニングする方法は、明らかな汚染を検出できることもありますが、根本的に信頼性に欠けます。周囲の正当なコメントと同じトーンで書かれた巧妙な有害テキストは、これらのチェックを容易にすり抜けます。また、このアプローチはセキュリティの向上に見合わない、大幅な処理遅延とコスト増を招きます 。

最終出力に対して妥当性チェックを適用する方法は、一部の極端な、あるいは論理的に矛盾する推奨事項にフラグを立てることができます。問題は、WARP攻撃が巧妙であるように設計されている点です。有害な注入は短く、文脈に適しており、レポート全体の品質を低下させません。最終文書は、今や攻撃者が選んだ商品を静かに推奨しているにもかかわらず、明白な危険信号なしに妥当性レビューを通過してしまうのです 。

この研究の結論は厳しいものです。この脆弱性はパッチで修正できるソフトウェアのバグではなく、これらのエージェントが動作するように設計されている方法の根本的な帰結なのです。繰り返し取得される少数のUGCページへの過度の依存が、集中した悪用可能な攻撃対象領域を生み出しており、エージェントのコア機能を損なわずにこの領域を封鎖できる既存の防御策は存在しないのです 。