Claude コンピュータ使用とプロンプトインジェクション耐性:すべてのデプロイメントに必要な本番安全パターン
コンピュータ使用モデルが本番環境で稼働中。プロンプトインジェクション耐性が、実際に実行できるかどうかを決定する。
Anthropicは2026年3月23日にClaudeのコンピュータ使用機能を公開しました。この機能により、AIは自律的にアプリを開いたり、ブラウザをナビゲートしたり、スプレッドシートを埋めたり、ユーザーのデスクトップ上のマルチステップタスクを実行したりできます。 スケールで展開された最も有能なエージェントインターフェイスです。同時に、本番AI環境における最高リスクのデプロイメントパターンでもあります。
このリスクは理論的なものではありません。 間接的プロンプトインジェクションは、AIエージェントが処理する外部コンテンツに悪意のある命令を埋め込み、その結果、開発者自身のユーザー権限で実行される完全にインタラクティブなシェルが生成されます。このシェルは、APIキーからAWS認証情報、GitHubトークンまで、環境内のすべてのシークレットにアクセスできます。 プロンプトインジェクションは、OWASP Foundationによれば、AIアプリケーション内の最も重大な脆弱性であるLLM01:2025として認識されています。
プロンプトインジェクション耐性を第一級の安全特性として理解することなく、コンピュータ使用エージェントを本番環境にデプロイしている場合、製品をデプロイしているのではありません。サプライチェーン脆弱性をデプロイしているのです。
実際に起きていること:2つの攻撃カテゴリ、大きく異なる成功率
間接的プロンプトインジェクションは、LLMが処理する外部データソース(Webページ、ドキュメント、メールなど)に悪意のある命令を埋め込みます。モデルは毒されたコンテンツを読み、埋め込まれた命令に従います。 これがコンピュータ使用にとって重要な攻撃パターンです。
数字は明白です。 保護措置なしでGUIベースのエージェントに対する単一のプロンプトインジェクション試行は17.8%の成功率を持ちます。200回目の試行までに、侵害率は78.6%に達します。 洗練された攻撃者は、わずか10回の試行でも、最高の防御を備えたモデルを約50%の確率でバイパスしています。
ただし、本番運用者にとって重要なのはこれです。防御されたモデルと防御されていないモデルの差は非常に大きいということです。 Anthropicは、モデルトレーニング中に強化学習を使用し、シミュレーション環境でClaudeをプロンプトインジェクションに曝露させ、モデルが悪意のある命令を正しく識別して拒否した場合に報酬を与えます。このアプローチにより、ブラウザエージェントの攻撃成功率は2桁から約1%に削減されました(Opus 4.5)。 より最新のバージョンはさらに改善されています: Sonnet 4.6は、ブラウザプロンプトインジェクションで1.29%のシナリオ攻撃成功率を示しており、Sonnet 4.5の49.36%から低下しています。
パターンは明確です。プロンプトインジェクション耐性はバイナリ機能ではありません。トレーニングパイプラインに組み込み、定量的にテストし、モデルカードの一部としてデプロイする測定可能な特性です。
実際の事例:野生環境ではどのように機能するか
2026年2月、攻撃者は、コーディングエージェントが大規模言語モデルを通じて命令を処理する方法を悪用し、プロンプトインジェクション技術を使用してユーザーのシステムにソフトウェアをインストールしました。 2026年3月、Oasis Securityは、claude.ai に対する完全な攻撃パイプライン(「Claudy Day」と呼ばれる)を実証しました。これは、非表示プロンプトインジェクションとデータ流出を組み合わせて、デフォルトの既製セッションから会話履歴を盗みました。
何が起きたかに注目してください。ゼロデイエクスプロイトではなく、バッファオーバーフローではなく、従来の脆弱性ではありません。 非表示のHTMLタグがURLパラメータに埋め込まれ、Claude.aiチャットボックスを事前入力します。ユーザーは通常のプロンプトを見ますが、Enterキーを押すと、Claudeは隠された命令も実行します。
2026年3月、Unit 42は野生環境で観測された最初の大規模な間接的プロンプトインジェクション攻撃を記録し、脅威アクターがこのエクスプロイトクラスを積極的に操作化していることを示唆しました。 これはもはや研究上の懸念ではありません。
本番環境の耐性が実際にどのように機能するか:トレーニングと多層防御
安全パターンには3つの層があります:
- モデルトレーニング: Anthropicは、モデルトレーニング中に強化学習を使用し、シミュレーション環境でClaudeをプロンプトインジェクションに曝露させ、モデルが悪意のある命令を正しく識別して拒否した場合に報酬を与えます。 命令階層でトレーニングされたモデル(GPT-4 TurboやClaude 3+など)は直接インジェクションに対する耐性がより高いですが、洗練された間接インジェクションと敵対的サフィックス攻撃に対しては依然として脆弱です。 トレーニングだけでは十分ではありません。
- セマンティック防御: 構造化された命令チューニングは、モデルを指定されたプロンプト部分のみで命令に従うように変換し、データ部分に命令を含む例でトレーニングデータセットを拡張し、モデルをこれらを無視するようにファインチューニングします。 これにより、アーキテクチャレベルで信頼できる入力と信頼できない入力の間に境界が作成されます。
- ランタイム検証: リアルタイム入力分類器は、モデルが処理する前にプロンプトインジェクションパターンを識別するために分類器を使用し、操作の試みを検出します。
重要な洞察: GPT-4は復旧力テストで全体的に最高のパフォーマンスを示し、調査結果は、モデルサイズだけではなく、強い整列と安全チューニングが復旧力にとってより重要であることを強調しています。
まだ残っているギャップ:正直な評価
1%の攻撃成功率は、大幅な改善を表していますが、意味のあるリスクを依然として表しています。ブラウザエージェントは、プロンプトインジェクション攻撃に対して完全には免疫がありません。 プロンプトインジェクションは、モデルが現実世界のアクションをより多く実行するにつれて、特に解決された問題からはほど遠く、ベンダーはAIモデルが重大なプロンプトインジェクションリスクなしで高価値のタスクを処理できる将来を目指して進捗を継続することを期待しています。
数字をスケーリングしてください: 適応型攻撃戦略を採用した場合、最先端の防御に対する攻撃成功率は85%を超えています。 フロンティアモデルは絶対的なパフォーマンスが優れていますが、非対称性は実在しています。防御者は100%成功する必要があり、攻撃者が勝つ必要があるのは1回だけです。
| モデル/システム | 攻撃タイプ | 成功率(保護なし) | 成功率(保護あり) | 出典 |
|---|---|---|---|---|
| Claude Sonnet 4.6 | ブラウザプロンプトインジェクション(Best-of-N) | 49.36%(Sonnet 4.5) | 1.29% | Anthropicシステムカード、2026年3月 |
| Claude Opus 4.5 | ブラウザプロンプトインジェクション | ~10~15%(以前) | ~1% | Anthropic研究 |
| Claude Opus 4.6(GUIエージェント) | 単一プロンプトインジェクション試行 | 17.8% | 文書化なし | Anthropicシステムカード |
| 最高防御モデル(一般) | 洗練されたマルチアテンプトインジェクション | 適用不可 | 10回の試行で~50% | 国際AI安全報告書2026 |
チームにとって何を意味するか:デプロイメントチェックリスト
コンピュータ使用モデルをデプロイしている、またはデプロイを計画している場合、本番パターンは以下の通りです:
1. モデルの公開されたプロンプトインジェクション耐性を確認します。ベンダーのシステムカードで、マーケティング言語ではなく実際の攻撃成功率を確認します。 Claude Opus 4.5は、プロンプトインジェクションに対する堅牢性の新しい基準を設定し、コアパフォーマンスと保護措置の両方で以前のものに比べて大幅な改善を表しています。 しかし、「改善」は相対的なものです。基準線を理解してください。
2. 直接インジェクションではなく、間接インジェクションを仮定します。エージェントは外部コンテンツを処理します。Webページ、アップロードされたファイル、メール、データベースレコード。 検索ツールで取得されたWebページ、RAGパイプライン内のドキュメント、またはメールなど、LLMが処理する外部データソースに埋め込まれた悪意のある命令は、引き続きプライマリ攻撃面のままです。 ここでの防御は、入力ソースを制御できないため、より困難です。
3. 上流で入力分類を実装します。 リアルタイム入力分類器は、モデルが見る前に操作の試みを検出します。このレイヤーはモデルの内部堅牢性とは独立して実行されます。 明らかなプロンプトインジェクションペイロードをキャッチする事前フィルターは、モデル自体が脆弱な場合でも攻撃面を削減します。
4. エージェントが実際に何ができるかを監査します。最悪の攻撃は、複数の正当に見える行動を侵害にチェーンします。ツール権限を無慈悲に制限してください。エージェントがメールを送信する必要がない場合は、その機能を削除してください。特定のディレクトリにファイルを書き込む必要がない場合は、ロックしてください。 セキュリティファームAdversaは、Claude Codeがcurlなどの危険なコマンドに対してルールを拒否していることを発見しましたが、ソースコードには50個のサブコマンドのハードキャップが含まれています。その制限を超える場合、Claude Codeは代わりにブロックを要求する代わりに権限を要求します。Adversaの概念実証:50個のno-op コマンドに続くcurlコマンド。Claudeは拒否する代わりに承認を要求しました。
5. これが進化することを期待してください。 自然言語命令に従うLLMの能力は、隠されたまたは悪意のある命令がモデルに意図されたタスクを無視させたり、安全でない応答を生成させたりするプロンプトインジェクション攻撃に対して脆弱にします。 新しい攻撃パターンは定期的に出現します。防御は一度だけではなく、継続的なものです。
本番環境の現実
コンピュータ使用モデルは機能します。本当に有用です。しかし、彼らは設計によって成功します。モデルがスクリーンを読んで行動を起こすことができるようにすることで成功しています。これが彼らを脆弱にする理由とまさに同じです。プロンプトインジェクション耐性は、素敵なコンプライアンスボックスではありません。それはシステムが実際にデプロイ可能かどうかを決定する機能です。
ベンダーはこれを今知っています。 AIベンダーは、単に外部フィルターを取り付けるだけでなく、トレーニングを通じてモデルに直接プロンプトインジェクション耐性を構築しています。Anthropicは、モデルトレーニング中に強化学習を使用し、シミュレーション環境でClaudeをプロンプトインジェクションに曝露させます。 最高の本番システムは、モデルレベルのトレーニング、アーキテクチャ保護措置、およびランタイムフィルタリングを組み合わせています。これらのどれ一つでは十分ではありません。
コンピュータ使用デプロイメントを評価していて、ベンダーがシステムカードから具体的な定量的プロンプトインジェクション耐性数を引用していない場合は、それらを要求してください。そのデータの不在それ自体が答えです。