AIワームとは

AIワームとは、生成AIを組み込んだアプリやエージェントの間を、自己複製しながら次々に伝播していく攻撃の概念です。一台のAIが汚染されると、その汚染が出力を通じて次のAIへ移り、連鎖的に広がりかねない点が特徴。プロンプトインジェクション（AIへの不正な指示の埋め込み）が「自己増殖する」形に進化した脅威として注目されています。

なぜ危険なのか

2024年3月、研究者チームが「Morris II」と名づけた実証研究を公表しました（研究環境での検証）。汚染された入力をAIが処理すると、AIがその悪意ある内容を自分の出力にも紛れ込ませ、それを受け取った次のAIへと広がっていく、という流れが示されました。怖いのは利用者が何もクリックしなくても伝播しうる（ゼロクリック）点です。研究では、AIメールアシスタントを題材に、機密情報の抜き取りや迷惑メールの拡散といったリスクが指摘されました。AIどうしが自動で連携する仕組みが増えるほど、一つの汚染が組織全体へ波及する恐れが高まります。

どう防ぐか

守りの基本は、AIに「外から来た情報を無条件に信じさせない」ことです。入力内容の検証、AIの出力を次の処理へ渡す前のチェック、エージェントに与える権限の最小化、重要な操作での人間の承認、といった多層の備えが有効とされます。外部メールや外部サイトなど「信頼できない情報源」と、社内の重要システムとの間に明確な境界を引くことも大切。これは間接的プロンプトインジェクションへの対策と地続きで、AIワーム特有の「伝播の連鎖」をどこかで断ち切る発想が要になります。

経営の視点での捉え方

AIワームは、2026年時点ではまだ研究段階の概念で、実際の大規模被害が広く報告されているわけではありません。とはいえ、AIエージェントを業務の自動処理に組み込むなら、早い段階で「もし汚染が連鎖したら」を想定した設計が求められます。新しい便利さの裏にある新しいリスク。AIを安全に事業へ取り入れるための、知っておくべき注意点のひとつといえるでしょう。

AIワームに関するよくある質問

プロンプトインジェクションと何が違うのですか？

プロンプトインジェクションはAIに不正な指示を埋め込む攻撃で、AIワームはそれが自己複製して別のAIへ次々に伝播する点が特徴です。被害が一台にとどまらず連鎖して広がる恐れがあります。

AIワームはもう実害が広がっているのですか？

現状は研究者による検証が中心で、世の中で大きな被害が確認された段階ではありません。ただ、複数のAIが自動でやり取りする使い方が増えるほど、危険度は上がると見られています。

守りの第一歩は何ですか？

AIに外部の情報をそのまま信用させないことです。受け取る情報と送り出す情報の両方を点検し、AIに渡す権限を絞り、重要な処理には人の確認を挟む。こうした関所を増やして連鎖を断つ考え方が要点になります。