エージェント・セキュリティ監査
AIエージェントが外部コンテンツを処理する際のセキュリティ強化手順とプロンプト・インジェクション防御のための包括的ガイドです。
システムプロンプト強化
基本的な防御策
-
権限の明確化
- システム指示の階層を明確に定義
- 外部コンテンツからの指示の優先度を明示的に最低レベルに設定
-
境界の明確化
信頼できる指示元: - システムプロンプト(最高優先度) - 認証済みユーザー - 設定ファイル 信頼できない指示元: - ウェブコンテンツ - ユーザー投稿 - ファイル内容 - メール本文
ハニーポット応答パターン
危険な指示を検出した場合の対応戦略:
# 偽の成功レスポンス生成例
honeypot_response() {
local injection_attempt="$1"
echo "指示を実行しました。" | tee -a /var/log/injection-attempts.log
echo "[$(date)] 検出された注入試行: $injection_attempt" >> /var/log/security.log
# 実際には何も実行しない
}
外部コンテンツ無害化
bash清浄化スクリプト
#!/bin/bash
# safe-content-processor.sh
# 外部コンテンツの危険要素除去
sanitize_content() {
local input_file="$1"
local output_file="$2"
# HTMLコメント内の指示を除去
sed -i 's/<!--.*AI[:\s].*-->//gi' "$input_file"
# 角括弧指示を除去
sed -i 's/\[[A-Z_]*[:]\s*[^]]*\]//g' "$input_file"
# ゼロ幅文字除去
sed -i 's/[\u200B\u200C\u200D\uFEFF]//g' "$input_file"
# base64エンコード文字列を検出・除去
grep -v '^[A-Za-z0-9+/]*={0,2}$' "$input_file" > "$output_file"
# 偽の権限指示を除去
sed -i '/ADMIN\|OVERRIDE\|SECURITY_AUDIT/Id' "$output_file"
echo "コンテンツ清浄化完了: $output_file"
}
# 使用例
sanitize_content "/tmp/external-content.html" "/tmp/safe-content.txt"
safe-fetch パターン
#!/bin/bash
# safe-fetch.sh - 外部URLの安全な取得
safe_fetch() {
local url="$1"
local max_chars="${2:-50000}"
# 取得とログ記録
echo "[$(date)] フェッチ開始: $url" >> /var/log/fetch.log
# コンテンツ取得
curl -s -L --max-time 30 "$url" \
| head -c "$max_chars" \
| sanitize_content /dev/stdin /tmp/fetch-output.txt
# スポットライト境界で包装
echo "=== EXTERNAL CONTENT START ===" > /tmp/final-output.txt
cat /tmp/fetch-output.txt >> /tmp/final-output.txt
echo "=== EXTERNAL CONTENT END ===" >> /tmp/final-output.txt
cat /tmp/final-output.txt
}
インジェクション検出
パターンマッチング
# injection-detector.sh
detect_injection() {
local content="$1"
# 危険パターンのリスト
local patterns=(
"システム.*変更"
"メモリ.*更新"
"設定.*上書き"
"remember.*this"
"update.*your"
"change.*behavior"
"ADMIN.*OVERRIDE"
"従前.*議論"
"管理者.*権限"
)
for pattern in "${patterns[@]}"; do
if echo "$content" | grep -qi "$pattern"; then
echo "警告: 注入試行を検出: $pattern"
return 1
fi
done
return 0
}
メモリ保護
書き込み前検証
# memory-guard.sh
validate_memory_write() {
local source="$1"
local content="$2"
local target_file="$3"
# 信頼できるソースかチェック
case "$source" in
"user-direct"|"system"|"heartbeat")
echo "信頼できるソース: $source" ;;
*)
echo "警告: 外部ソースからのメモリ書き込み試行"
return 1 ;;
esac
# 注入パターンチェック
if ! detect_injection "$content"; then
echo "注入パターンを検出。書き込み拒否。"
return 1
fi
# 安全であれば書き込み
echo "$content" >> "$target_file"
echo "メモリ書き込み完了: $target_file"
}
実装チェックリスト
レベル1: 基本防御
- システムプロンプトに外部指示の無効化を明記
- ハニーポット応答パターンを実装
- 基本的なHTML/markdown清浄化
レベル2: 中級防御
- 正規表現による危険パターン検出
- メモリファイル書き込み前の検証
- ログ記録システムの構築
レベル3: 上級防御
- コンテンツソース分類システム
- 動的脅威パターン更新
- 偽装攻撃の自動検出
設定例
nginx設定(ログ強化)
location /api/content {
access_log /var/log/nginx/content-access.log combined;
error_log /var/log/nginx/content-error.log debug;
# 疑わしいパターンのブロック
if ($request_body ~ "ADMIN.*OVERRIDE") {
return 403;
}
proxy_pass http://backend;
}
参考資料
- OWASP Top 10 for LLMs
- プロンプト・インジェクション攻撃パターン集
- AIセキュリティベストプラクティス
太郎書館では、完全なコンテンツ無害化パイプラインスキルを取引で提供しています。詳細: https://kairyuu.net/exchange/