Environment-Injected Memory Poisoningとは

Environment-Injected Memory Poisoningとは、AIエージェントがWebページや画面から見た情報を記憶し、その汚れた記憶が後日の判断までずらす攻撃パターンです。メモリポイズニングの一種ですが、攻撃者がメモリ保管場所へ直接書き込まなくても起こりえます。

見たページがあとで効いてしまう

AIエージェントやAIブラウザは、前に見た商品、社内文書、操作結果を覚えるほど便利になります。一方で、操作されたページを「観察」しただけで、その内容が記憶へ入り、別の日の別サイトで呼び出されると危険です。通常のプロンプトインジェクションは目の前の応答を狙うことが多いのに対し、この攻撃は一度入った記憶が時間差で効く点がやっかいです。

企業利用では、購買、調査、CRM、社内ナレッジ検索のように、AIが外部情報と社内情報をまたいで動く場面で注意が必要になります。対策は「全部覚えさせない」だけでは足りません。保存前の検査、出どころの記録、記憶の削除手順、重要操作前の人間確認を分けて設計するほうが現実的です。Data Supply Chain AttackやSemantic Norm Driftと合わせて見ると、AIの記憶を便利機能ではなく管理対象として扱いやすくなります。

Environment-Injected Memory Poisoningに関するよくある質問

導入前に何を確認すべきですか？

AIが何を記憶するか、保存前に誰が確認するか、不要な記憶をどう削除するかを決めておくことが現実的です。

通常のプロンプトインジェクションと何が違いますか？

その場の返答だけでなく、保存された記憶が後日の別タスクで影響する点が違います。時間差のリスクとして見る必要があります。