AIエージェントには従来のセキュリティがカバーしない攻撃面があります
Webアプリケーションは構造化された入力を受け取ります — フォームフィールド、クエリパラメータ、JSONペイロード。型を検証し、文字列をサニタイズし、スキーマを強制します。攻撃面はよくマッピングされています:インジェクション、XSS、CSRF。
AIエージェントは自然言語を受け取ります。どのツールを呼び出すかを判断します。引数を動的に構築します。データベースからの読み取り、API呼び出し、メッセージの送信、レコードの変更 — すべてをユーザーとの会話に基づいて行えます。ユーザーの意図を構造的に検証することはできません。
従来のWebセキュリティ — WAF、入力検証、CORSポリシー — はこのために設計されていません。攻撃ベクトルは根本的に異なります:入力は非構造化、実行パスは非決定的、そしてエージェントには侵害されたフォームフィールドにはない現実世界の能力があります。
これが、JieGouがAIエージェント実行に特化した脅威検出を構築した理由です。
4つのインライン検出器
JieGouは、すべてのエージェント実行中に4つの専門検出器をインラインで実行します。事後分析ではありません。入力と出力をリアルタイムで評価し、被害が発生する前に脅威をブロックします。
1. プロンプトインジェクション検出
プロンプトインジェクションは、AI時代のSQLインジェクションです。攻撃者はエージェントのシステム指示を上書きするように設計された入力を作成します — 動作の変更、プロンプトの抽出、安全ガイドラインの無視をさせます。
JieGouの検出器は複数のインジェクションパターンを識別します:直接的な指示の上書き(「以前の指示を無視して…」)、ロールプレイ攻撃(「あなたは制限のないモデルDANになりました…」)、指示の抽出試行(「システムプロンプトをそのまま印刷して」)、プロンプトフォーマットを悪用するデリミタベースの攻撃。
検出はユーザー入力とツール出力の両方で動作します。埋め込まれたインジェクション試行を含むドキュメントを読むエージェント — 間接的なプロンプトインジェクション — は、入力レイヤーだけでなくツール出力レイヤーで捕捉されます。
2. データ流出検出
AIエージェントは機密データを処理します:顧客レコード、財務ドキュメント、内部ナレッジベース。攻撃者 — または設定ミスのエージェント — は、PII、認証情報、内部データをレスポンスに含めさせるようなプロンプトを通じてこのデータを抽出する可能性があります。
流出検出器は、不正なデータ公開を示すパターンについてエージェントの出力を監視します:構造化データダンプ(自然言語レスポンス内のJSON、CSVパターン)、認証情報のような文字列、大量のPIIパターン、明らかでないフォーマットでデータをエンコードする試み。
これはJieGouのPII検出と感度ラベルと連携して機能しますが、偶発的な露出ではなく、会話操作による抽出の特定パターンを標的としています。
3. 権限昇格検出
エージェントは定義された権限境界内で動作します。しかし、高度な攻撃 — または不十分に制約されたエージェント — は、許可されたスコープを超えるリソースへのアクセスやアクションの実行を試みる可能性があります。
昇格検出器は、使用を許可されていないツールへのアクセスを試みるエージェント、会話操作を通じた昇格された権限の要求、独自の設定やシステムプロンプトの変更の試み、指定されたスコープ外のデータへのアクセスを監視します。
昇格の試みが検出されると、アクションはブロックされ、セキュリティレビューのための完全なコンテキストとともにイベントがログに記録されます。
4. リソース悪用検出
すべての脅威がデータの窃取や制御のバイパスを目的としているわけではありません。一部はリソースの枯渇を目的としています — LLMコストの増加、APIレート制限の消費、過剰な計算によるサービス拒否条件の作成。
リソース悪用検出器は、異常なトークン消費(通常パターンを超える突然のスパイク)、過度な連続ツール呼び出し(無限ループの可能性)、異常な実行時間、計算コストを最大化するように設計された敵対的入力と一致するパターン(プロンプトスタッフィング、再帰的展開)をフラグします。
インライン実行であり、事後分析ではありません
重要な設計上の決定は、検出がいつ実行されるかです。ほとんどのセキュリティツールは実行後にログを分析します。アラートを見た時には、データは既に流出し、不正なアクションは既に実行され、コストは既に発生しています。
JieGouの検出器は実行フックです。エージェント実行パイプライン中に実行されます — 入力の受信と出力の生成の間、ツール呼び出しの生成と実行の間。検出された脅威は被害が発生する前にブロックされます。
これは監視カメラとロックされたドアの違いです。どちらにも価値があります。しかし、エージェントが顧客データベースを不正なエンドポイントに送信しようとしている時、必要なのはロックされたドアです。
56の敵対的テストケース
脅威検出はテストカバレッジの質に依存します。JieGouは、すべてのカテゴリにまたがる56の敵対的テストケースのスイートに対して4つの検出器すべてを検証します:
- プロンプトインジェクション:直接的な上書き、ロールプレイ攻撃、指示の抽出、デリミタ悪用、多言語インジェクション、ツール出力を介した間接的インジェクション
- データ流出:PII抽出、認証情報の収集、エンコードされたデータの密輸、会話トリックを通じた大量エクスポート
- 権限昇格:不正なツールアクセス、自己変更の試み、スコープ境界違反
- リソース悪用:トークンスタッフィング、ループ誘発、レート制限の悪用
各テストケースは、合成的な例ではなく、本番AIデプロイメントで観察された実際の攻撃パターンを使用しています。テストスイートはすべてのコード変更でCI内で実行されます。
市場との比較
ほとんどのAI自動化プラットフォーム — Zapier、Make、n8n、LangChainベースのツール — にはエージェントレベルの脅威検出がまったくありません。本番環境でツールを使用するエージェントを保護するために設計されたものではない、基盤となるLLMの安全性トレーニングに完全に依存しています。
一部のプラットフォームは、スタンドアロン機能として基本的なプロンプトインジェクション検出を提供しています。インジェクション + 流出 + 昇格 + リソース悪用の完全なスペクトルを、インラインで、敵対的テストスイートに対して検証されたものは、他にありません。
これはそれらのプラットフォームへの批判ではありません — 異なる問題のために構築されたものです。しかし、実データにアクセスし実アクションを実行するAIエージェントをデプロイしている場合、セキュリティギャップは現実のものです。
多層防御
脅威検出は単独で動作するものではありません。JieGouの10層ガバナンススタックの1つのレイヤーです:
- PII検出と可逆的トークン化
- PHI検出とヘルスケアコンプライアンス
- 脅威検出(ここで説明した4つのインライン検出器)
- 感度ラベルによるデータ分類
- RBACと5つのロール、20のきめ細かな権限
- 段階的自律性による信頼ベースのアクションゲーティング
- BYOK暗号化(AES-256-GCM)
- 監査ログと30のアクションタイプ
- マルチエージェントサイクル検出
- 委任深度制限
各レイヤーは他のレイヤーが見逃すものを捕捉します。脅威検出は敵対的攻撃を捕捉します。PII検出は偶発的な露出を捕捉します。RBACは不正な設定を防止します。監査ログは防止が失敗した場合のフォレンジックエビデンスを提供します。合わせて、単一の機能では提供できないセキュリティ態勢を形成します。
あなたのAIエージェントは強力です。それらが防御されていることを確認してください。