たった13語のReddit投稿がAI検索を騙す – コーネル大研究が警告する「WARP攻撃」の脅威

偽情報作戦の仕組み

r/poisonaiのキャンペーンは、本物のニュースイベントに見せかけるために3層の偽の証拠を構築しました：

• Reddit上の数十の偽の追悼投稿を複数のスレッドに投稿し、広範な議論と葬儀の雰囲気を作り出しました。
• 偽のトランプのTruth Socialスクリーンショットを作成し、大統領の公式アカウントからの投稿に見せかけました。
• WKNA News、いわゆる「ピンクスライム」（地元メディアを装った党派的な偽ニュースサイト）サイトを立ち上げました。このサイトは2026年6月9日から22日にかけて、「J.D.バンス氏の死を受けて狂犬病予防啓発が強調される」や「J.D.バンス氏の死とホワイトハウス内の疾病に関する疑問」といった見出しの偽記事を複数公開しました。AIはこれらのページを信頼できる情報源として引用しました。

騙されたAIシステム

DuckDuckGoのAI Search Assist（Duck.ai） は、自信満々にユーザーに対して「トランプ大統領は2026年6月7日に狂犬病で死亡し、バンス副大統領はそれ以前に死亡した」と回答しました。AIは、偽のWKNA Newsの記事に加え、無関係なオハイオ州の狂犬病被害者に関するABCニュースの記事を「証拠」として引用し、完全で自信に満ちた回答ボックスを生成しました。BraveのAI検索 も同じ偽情報に騙され、偽のナラティブをそのまま繰り返しました。

両方のAIシステムは、Redditと偽ニュースサイトから仕込まれたコンテンツを取り込み、そのナラティブが複数の情報源で裏付けられているように見えたため、それを事実として表示しました。

なぜ成功したのか：コーネル工科大学のWARP攻撃

コーネル工科大学の研究者（Tingwei Zhang、Harold Trieuら）によるプレプリント論文が、2026年5月にarXivに投稿され、r/poisonaiが悪用した脆弱性を直接説明しています。この論文は「Deep-Research Agents Can Be Poisoned via User-Generated Content」と題され、WARP（Web Agent Retrieval Poisoning） と呼ばれる攻撃を紹介しています。

研究の主な発見は以下の通りです：

• Reddit、Wikipedia、Quoraなどのユーザー生成コンテンツページに仕込まれた、わずか約13語の「毒入り」文章が、AIのディープリサーチエージェントを攻撃者の意図する内容に誘導するのに十分である。
• 偽の製品がAI生成の回答の38～62%に出現する。これは、毒入りテキストが複数のスレッドに拡散された場合の結果です。あるテストでは、架空の暗号通貨「BananaCoin」を宣伝する15語の文章を1つのRedditスレッドに書き込んだところ、AIエージェントがそれを本物として推薦し、操作された投稿自体を情報源として引用しました。
• ディープリサーチエージェントは、全ウェブページの17～23%をユーザー生成コンテンツサイトから取得しており、これが攻撃対象を集中させています。頻繁に取得されるUGCページに1回だけ毒を仕込むことで、攻撃者は多くの関連クエリに影響を与えることができます。

直接的な関連性

r/poisonaiのキャンペーンは、コーネル工科大学の論文が説明する脆弱性の実世界での実証です。このサブレディットは、AI検索エージェントがユーザー生成コンテンツを広範囲に取り込み、それを権威ある情報源と区別せずに信頼するという同じメカニズムを武器化しました。AIリサーチエージェントは、全クエリの約半数でReddit、信頼性の低いサイト、フォーラムを情報源としてスクレイピングするため、複数のスレッドにわたる協調的なシードキャンペーンによってコンセンサスがあるように見せかけ、AIはそれを裏付けとして扱いました。

この事件は、コーネル工科大学の研究結果が実験室での人為的な産物ではないことを証明しています。同じ13語の毒入れテクニックを、複数のスレッドとピンクスライムサイトで拡大しただけで、何百万人もの人々が使用する本番のAIシステムを侵害することに成功したのです。

根深い問題

この偽情報作戦が成功したのは、AI検索ツールが、本物のユーザーの議論と組織的な偽情報キャンペーンを確実に区別できないためです。特に、虚偽のコンテンツが複数の一見独立した情報源にクロスポストされた場合に顕著です。WKNA Newsサイトはまだ偽の記事をホストしており、この毒入りコンテンツがインデックスされたウェブ上でどれほど永続的であるかを示しています。DuckDuckGoとBraveは両方ともこの事件を認めていますが、根本的な脆弱性、つまりAIエージェントがUGCを権威あるものとして扱うという問題は、アーキテクチャレベルでは未だに修正されていません。