汚染されたドキュメントが、アシスタントが私について知っているすべてを、なぜ気づかれることなく外部に流出させることができるのか?
Opportunity
2025年6月、Aim SecurityはEchoLeakを公開した。これは、本番AIシステムから実際のデータ流出を引き起こした、初めて記録されたゼロクリックプロンプトインジェクションである。単一の悪意あるメールが、ユーザーの操作なしにMicrosoft Copilotに機密データを送信させた。構造的な問題は、永続的なメモリとツール呼び出しアクセスを持つAIアシスタントが、2つの危険な特性を組み合わせていることである。それらは蓄積されたパーソナルコンテキストを保持し、信頼できないコンテンツに埋め込まれた指示に従って行動させることができる。アシスタントが読む新しいドキュメント、メール、ウェブページはすべて、潜在的な指示の実行面となる。ユーザーがアシスタントに保持させる記憶と、外部コンテンツから受け取る指示の間に隔離境界は存在せず、現在のサンドボックス化の提案はツール呼び出しには対処しているがメモリの読み取りアクセスには対処していない。
Why it matters
個人AIメモリは、すべての悪意あるドキュメントを標的型の情報窃取攻撃に変え、成熟した防御手段を持たない新たな攻撃クラスを生み出す。
機会をどう評価するか
The Opportunity Score is my own read, not a measurement: how much it hurts, how often it bites, and how little exists to solve it today. Higher means I think it is more worth building.
How much pain it causes when it shows up.
How often people actually run into it.
How little good tooling exists for it today.