Gong 氏と他の研究者は、AI エージェントのセキュリティの脆弱性について以前から警告を発し続けてきました。彼らは、Web サイト、電子メール、その他のデータ ソースと称される隠しコマンドを使用してエージェントをハイジャックする間接インジェクションなどのエクスプロイトを詳しく説明した記事やブログ投稿を公開しています。これらの技術と比較すると、メタのハッキングはほとんど簡単です。ハッカーが克服しなければならなかった唯一の問題は、実際のアカウント所有者の所在地と一致する VPN を使用することでした。その後、サポート エージェントにアカウントのメール アドレスの変更を直接依頼し、受け入れられました。
Meta は、この脆弱性がどのようにしてすり抜けたかについて公式にコメントしていません。しかし、エクスプロイトの単純性を考えると、エージェントが配備される前に簡単に暴露されるべきだった、と Gong 氏は言います。 「本当に驚いています」と彼は言う。 「なぜ彼らがこの単純な問題を見つけられなかったのか理解できません。」
ジョージタウン セキュリティおよび新興技術センターの上級研究アナリスト、ジェシカ ジー氏もこれに同意します。 「それは次のような疑問を引き起こします。そもそもガードレールはあったのか?」彼女は「この種のシナリオをテストしようと考えた人はいますか?」と言いました。彼女は、今回の見落としは、人工知能とサイバーセキュリティの両方に広範な専門知識を持つメタのような企業によるものであると特に注目に値する、と指摘する。 Meta はこの記事に関するコメント要請に応じなかったが、月曜日に Meta の広報担当者が X に対し、脆弱性は解決されたと伝えた。
この瞬間は特にメタにとって気まずいものかもしれないが、すべての AI エージェントに共通するいくつかの中核的な脆弱性も浮き彫りになっている。従来のソフトウェアとは異なり、エージェントは新しい状況に対して柔軟かつ予測不可能な方法で対応できるため、人間のカスタマー サポート エージェントに代わることができる可能性があります。しかし、AI エージェントは人間ではできない方法でだまされる可能性があり、現実世界での行動を取れるため、その間違いは結果をもたらします。 「ある人は『それで、なぜメールアドレスを変更したいのですか?』と言うでしょう。」そして、おそらく秘密の質問で応答するかもしれません」とウィスコンシン大学マディソン校のコンピュータサイエンス教授であるソメシュ・ジャーは言います。 「これらのエージェントで何が起こるかというと、彼らは仕事をやり遂げることに非常に熱心です。まるで、先生を喜ばせたいだけの小学生のようなものです。」
リスクを軽減する方法はあります。企業は従来のソフトウェアを使用して、機密性の高いアカウント情報を新しい電子メール アドレスに送信する前に常にセキュリティの質問への回答を求めるなど、エージェントが厳格なルールに従うようにするガードレールを構築できます。そして、この記事にアドバイスを行った専門家は全員、エージェントが厳格なレッドカラーを経験すべきであることに同意しています。レッドカラーとは、開発者がシステムを攻撃して導入前にその脆弱性を発見するために全力を尽くすプロセスです。
