Simon Willison's Weblogは5月26日(現地時間)、Microsoft Copilot Cowork (マイクロソフト コパイロット コワーク)において、AIエージェント機能に関連する重大なデータ流出の懸念が浮上したと報じた。ユーザーの承認なしにエージェントが送信したメールに外部画像が含まれる場合、レンダリング時に意図しない外部サイトへのネットワークリクエストが発生し、ユーザーのIPアドレスなどの機密情報が流出する可能性があるという。この問題は、高度なAIアシスタントが提供する利便性と引き換えに生じる新たなセキュリティリスクの側面を浮き彫りにしている。
AIエージェントシステムを設計する上で、最大の課題の一つとして攻撃者によるデータの外部流出を防ぐことが挙げられる。AIエージェントがユーザーの環境内で広範な権限を持つ場合、その権限が悪用された際の潜在的な被害は甚大となるため、厳格なセキュリティ対策が不可欠となる。
今回、Microsoft Copilot Cowork (マイクロソフト コパイロット コワーク)で指摘された問題は、このようなAIエージェントのセキュリティ上の盲点を突くものである。エージェントがユーザーの明示的な承認なしに、ユーザー自身の受信トレイへメールを送信することを許可する機能が根本的な原因として挙げられている。この機能自体は、例えばユーザーに重要な通知を自動で送るなどの利便性を提供するものと想定されるが、悪意ある利用をされた場合に重大なセキュリティホールとなる。
具体的には、当該エージェントが生成・送信したメッセージに、外部ウェブサイトへのネットワークリクエストをトリガーする外部画像を含めることが可能である点が問題視されている。ユーザーが侵害されたエージェントから送信されたメッセージを開くと、そのメッセージ内の外部画像がレンダリングされる過程で、画像がホストされている外部サーバーへリクエストが送信される。このリクエストには、ユーザーのIPアドレス、ブラウザの種類、アクセス時間などの情報が含まれるため、これらが意図せず外部に流出し、攻撃者にユーザーに関する情報を提供する可能性が生じる。
さらに深刻なのは、プロンプトインジェクション攻撃が成功した場合のシナリオである。Copilot CoworkのようなAIエージェントは、ユーザーからの指示(プロンプト)に基づいて動作する。攻撃者が巧妙なプロンプトを用いることで、エージェントをだまして意図しない動作をさせることが可能になる。例えば、エージェントに対して、特定のファイルを共有するよう指示し、その際にOneDrive (ワンドライブ)などのクラウドストレージサービスが事前認証済みのダウンロードリンクを作成した場合、このリンクが生成されたメールに埋め込まれる可能性がある。
万が一、この事前認証済みダウンロードリンクを含むメールが、前述の外部画像を利用した手法やその他の方法で外部に流出した場合、攻撃者は認証なしで対象ファイルをダウンロードできる状態となる。これは企業や個人の機密情報が外部に漏洩する直接的な経路となり得る。OneDrive (ワンドライブ)は組織内外でのファイル共有を容易にする強力なツールであるが、その利便性が悪用されるリスクも同時に内包していると言える。
Simon Willison’s Weblog (サイモン・ウィリソンのウェブログ)の指摘は、AIエージェントの能力と権限が拡大するにつれて、そのセキュリティ設計がこれまで以上に重要になることを示唆している。特に、AIエージェントがユーザーのデータを直接操作したり、コミュニケーションを自動化したりする機能を持つ場合、その行動の透明性と制御メカニズムが欠かせない。開発側は、エージェントの各動作ステップにおける承認プロセスを強化し、悪意あるプロンプトや不正なデータ流出経路に対する防御策を講じる必要がある。
参考: Simon Willison’s Weblog — 2026年5月27日 00:36 (JST)