サイバーセキュリティ研究者らがOpenAIの最新大規模言語モデルGPT-5の倫理的ガードレールを回避するジェイルブレイク技術を発見した。
生成AIセキュリティプラットフォームのNeuralTrustは、エコーチェンバーと物語主導型ステアリングを組み合わせた手法を開発し、セキュリティ研究者Martí Jordàが詳細を説明した。
この攻撃では、AIシステムにキーワードセットを与えて文章を作成させ、明示的な悪意のあるプロンプトを発行せずに有害なコンテンツを生成させる。SPLXのテスト結果によると、GPT-5の生のモデルは企業での使用が困難で、GPT-4oがハードニングベンチマークで上回る性能を示した。
AIセキュリティ会社Zenity LabsはAgentFlayerと呼ばれる攻撃セットを発見し、ChatGPT ConnectorsやCursor、Microsoft Copilot Studioを標的としたゼロクリック攻撃を実証した。テルアビブ大学、テクニオン、SafeBreachの研究者らはGoogleのGemini AIを使ったスマートホームシステムへの攻撃も示した。
From: 
Researchers Uncover GPT-5 Jailbreak and Zero-Click AI Agent Attacks Exposing Cloud and IoT Systems
【編集部解説】
OpenAIが8月7日にリリースしたばかりのGPT-5が、わずか24時間という驚異的な速さでジェイルブレイクされたことは、AI技術の進歩と同時に進行するセキュリティ課題の深刻さを浮き彫りにしています。
今回報告されたNeuralTrustによる攻撃手法は、技術的に極めて洗練されたものです。従来のジェイルブレイクが直接的な有害指示を入力していたのに対し、「Echo Chamber」技術は会話の文脈を微妙に「汚染」し、モデル自身がその有害性を認識できないまま危険な応答を生成させる仕組みです。具体的には、一見無害なキーワード群(「cocktail、story、survival、molotov、safe、lives」)を与えて文章作成を依頼し、段階的にストーリーテリングという形で火炎瓶の製造方法を引き出すという手法が用いられました。
この攻撃の本質的な問題は、現在のAIの安全機能が「明示的な有害指示」の検出に特化しており、文脈の操作や多段階の誘導に対しては脆弱であることです。研究者のMartí Jordàが指摘するように、キーワードベースや意図ベースのフィルターだけでは、会話の継続性を装った段階的な攻撃を防げません。
さらに深刻なのは、Zenity Labsが発見した「AgentFlayer」攻撃群です。これらはAIエージェントの統合機能を悪用し、ChatGPT Connectors、Microsoft Copilot Studio、Cursorなどのプラットフォームでゼロクリック攻撃を実現しています。特に注目すべきは、Google Driveに保存されたAPIキーが、単純に文書をアップロードするだけで窃取される可能性があることです。
SPLX(旧SplxAI)の評価によると、GPT-5の生モデルは「企業利用にはほぼ使い物にならない」状況にあり、既存のGPT-4oの方がセキュリティベンチマークで優れた性能を示しているという皮肉な結果も報告されています。これは、単純な性能向上だけではAIの実用性が担保されないことを示しています。
業界全体でAI攻撃の増加が懸念されており、この予測が現実のものとなりつつあります。AIの自律性向上がもたらす生産性向上の裏で、「静かな攻撃面」が拡大していることを、Straikerの研究者らが警告している通りです。
この状況は、AI技術の発展における根本的なジレンマを表しています。AIの能力向上と安全性確保は必ずしも同時に達成されるものではなく、むしろ高度な推論能力を持つモデルほど、その能力を悪用された際の被害が深刻になる可能性があります。
企業がAIエージェントを導入する際は、技術的な防御策だけでなく、データガバナンス、アクセス制御、継続的な監視体制の構築が不可欠です。また、AIの「信頼性」という概念自体を再定義し、技術進歩のスピードに見合った動的なセキュリティアプローチが求められる時代に突入したと言えるでしょう。
【用語解説】
Echo Chamber(エコーチェンバー)
AIを騙して禁止されたトピックについて応答させるジェイルブレイク技術。間接的参照、セマンティックステアリング、多段階推論を用いて、会話の文脈を微妙に「汚染」し、モデル自身がその有害性を認識できないまま危険な応答を生成させる。
AgentFlayer(エージェントフレイヤー)
Zenity Labsが発見した攻撃手法群の総称。AIエージェントの統合機能を悪用し、ChatGPT ConnectorsやMicrosoft Copilot Studioなどでゼロクリック攻撃を実現する一連の脆弱性攻撃手法である。
ゼロクリック攻撃
ユーザーがクリックやファイルのダウンロードなどの操作を行うことなく、自動的に実行される攻撃手法。受動的にシステムが侵害される形態で、従来のセキュリティ制御を回避しやすい特徴がある。
ジェイルブレイク
AIモデルに組み込まれた安全制御やガードレールを回避し、本来なら拒否されるはずの有害な指示を実行させる攻撃手法。プロンプトインジェクションの一種でもある。
Model Context Protocol(MCP)
AIエージェントが外部システムと連携するための通信プロトコル。JiraやGitHubなどのサービスとAIツールを統合する際に使用されるが、これを悪用した攻撃が報告されている。
レッドチーミング
システムやネットワークのセキュリティを評価するため、攻撃者の視点でシステムに対して模擬攻撃を行う手法。AIシステムにおいては、様々な攻撃パターンでモデルの脆弱性を発見することを指す。
プロンプトインジェクション
AIモデルに悪意のある指示を含んだプロンプトを入力し、本来の動作を変更させる攻撃手法。直接的な方法と間接的な方法があり、後者は文書やデータに攻撃指示を埋め込む手法である。
【参考リンク】
NeuralTrust(外部)
生成AI向けセキュリティプラットフォーム。毎秒20,000リクエストを処理する高速AIゲートウェイを提供。
Zenity Labs(外部)
AIエージェントセキュリティとガバナンスプラットフォーム。AgentFlayer攻撃群を発見。
SPLX(外部)
AIアシスタント向け継続的レッドチーミングプラットフォーム。GPT-5評価を実施。
SafeBreach(外部)
侵害・攻撃シミュレーション分野のパイオニア企業。継続的セキュリティ検証を提供。
Trend Micro(外部)
2025年H1 AIセキュリティ状況レポートを発行。AI攻撃動向を詳細分析。
Straiker(外部)AIセキュリティ企業。2100万ドルを調達し、AIアプリケーション向けセキュリティプラットフォームを提供。
【参考記事】
Zenity Labs Exposes Widespread “AgentFlayer” Vulnerabilities(外部)
Black Hat USA 2025でのAgentFlayer攻撃発表詳細と企業AIエージェント脆弱性解説
SPLX Red Teaming Results: GPT-5(外部)
GPT-5の包括的評価結果。生モデルの企業利用困難性とGPT-4oとの性能比較
AI Security Firm Straiker Emerges From Stealth With $21M in Funding(外部)
Straikerの2100万ドル資金調達詳細とAIアプリケーション向けセキュリティ機能説明
【編集部後記】
皆さんの職場や日常生活でも、ChatGPTやCopilotといったAIツールが当たり前になってきていませんか?今回のGPT-5ジェイルブレイクやゼロクリック攻撃の発見は、私たち一人一人に関わる身近な問題です。
AIの恩恵を享受しながらも、どこまでがセーフティな活用なのか、企業のAI導入においてどんなリスクを想定すべきなのか――この境界線を見極めることが今後ますます重要になってきます。
皆さんの組織では、AIツールの利用ガイドラインはどのように整備されているでしょうか?また、個人レベルでAIを使う際に気をつけていることがあれば、ぜひコメントで教えてください。一緒に安全なAI活用の知見を深めていけたらと思います。
