その情報、筒抜けかも？　何もしなくても漏れるAI×チャット連携の落とし穴：868th Lap

AIエージェントは業務効率を高める技術として、エンタープライズIT分野においても注目を集めている。だが、チャットアプリと連携させることで、ユーザーが気付かないうちに情報が外部へ漏れるリスクがあることが、最新の調査で明らかになった。

» 2026年02月20日 07時00分公開

[キーマンズネット]

　ここ最近、「AIエージェント」が取り沙汰されている。チャット型AIのように質問に答えるだけでなく、自らタスクを分解し、外部ツールやAPIと連携しながら自律的に業務を完遂する点が特徴だ。いわば「自走する有能なアシスタント」だ。「Slack」などの業務チャットと連携させて使うケースも増えている。チャット画面から直接指示を出せるため、業務フローに自然に組み込める点が大きな利点だ。

　一方で、自律的に動作することによる誤作動や暴走などのリスクも指摘されている。最新のレポートでは、AIとチャットアプリの連携において、ユーザーが何も操作しなくても情報が外部に送信される可能性が指摘されている。

　利便性を高めるために接続したはずの仕組みが、なぜ情報流出の経路になり得るのか。その背景には、われわれが日常的に利用している「ある便利な機能」があった。

　AIセキュリティ企業のPromptArmorは、自社ブログで「Data Exfil from Agents in Messaging Apps」と題するレポートを公開し、AIエージェントとチャットアプリの連携に潜むセキュリティリスクについて警鐘を鳴らした。

　レポートによると、AIエージェントが作成したURLとメッセージアプリのリンクプレビュー機能が組み合わさることで、知らないうちに情報が外部へ送信されてしまう可能性があるという。リンクプレビュー機能は、メッセージに含まれるURLの内容を、ユーザーがクリックしなくても自動で読み込み、サムネイルなどを表示する機能だ。だが、AIエージェントと連携している場合、この仕組みが悪用され、情報を抜き取られる恐れがある。

　攻撃者は間接プロンプトインジェクションという手法を使い、AIエージェントに特定のURLを含む回答を作らせ、それを標的のユーザーに送信させる。このとき、URLの末尾（クエリ文字列）にAPIキーやユーザー情報などの機密データを埋め込む。間接プロンプトインジェクションとは、AIが外部の情報を読み取って処理する仕組みを悪用し、その中にこっそり悪意のある指示を紛れ込ませることで、AIの動作を攻撃者の意図通りに操る手法だ。

　問題は、その不正なURLがメッセージアプリに表示された瞬間に発生する。リンクプレビュー機能が有効になっていると、ユーザーがリンクを開かなくても、アプリが自動的にリンク先へアクセスしてしまう。その結果、URLに埋め込まれた機密情報が攻撃者のサーバへ送信される可能性がある。つまり、ユーザーが何も操作しなくても情報が盗み取られる「ゼロクリック」型の攻撃が成立してしまう点が、この手法の大きな特徴だ。

　実証実験では、AIエージェント「OpenClaw」とメッセージアプリの「Telegram」を連携させた環境で検証した結果、デフォルト設定のTelegramではリンクプレビュー機能を悪用した情報窃取が比較的容易だということが確認された。

　対策はシンプルだ。メッセージアプリ側でリンクプレビュー機能を無効化すれば、URLへの自動アクセスは発生しない。リンクプレビューを日常的に利用している場合でも、AIエージェント側で同機能をオフにする設定が用意されている。

　今回の指摘が示すのは、AIエージェントの安全性はモデル単体の性能や設計だけでは十分に評価できないということだ。どのサービスと連携し、どのような環境で運用するのかまで含めて検討する必要がある。利便性の高いAIエージェントであっても、他のアプリとの組み合わせ次第では新たな攻撃経路となり得る。AI活用が本格化する今こそ、こうした見えにくいリスクを正しく理解し、導入前から適切な対策を講じることが求められている。