【ITニュース解説】Multi-Stage Processing Architecture: A Structural Defense Against Prompt Injection

このニュース記事では、プロンプトインジェクション攻撃に対する構造的な防御策として、「多段階処理アーキテクチャ」を紹介している。プロンプトインジェクションとは、悪意のあるユーザーがAIモデルの指示を不正に操作し、意図しない動作を引き起こす攻撃手法のことだ。2025年9月現在、その被害事例が確認されており、AIエージェントの普及が進むにつれて、根本的な対策が急務となっている。

多段階処理アーキテクチャは、AI処理を2つの段階に分離することで安全性を確保する。

第1段階：命令分析段階

ユーザーからの入力に基づいて、具体的な実行計画を生成する。この段階では、どのような処理を実行するかを決定するだけで、外部データは参照しない。

第2段階：実行段階

第1段階で確定した実行計画と外部データを組み合わせて、実際の結果を出力する。

この構造により、実行されるプロセスは外部データを見る前に完全に決定されるため、外部データからの指示変更は構造的に不可能となる。たとえ外部データに悪意のあるコンテンツが含まれていても、それは処理対象のデータとして扱われ、システム操作に影響を与えることはない。

具体例として、「過去1週間のカレンダーの予定を鈴木さんにメールして」という入力を考えてみよう。命令分析段階では、以下の実行計画が生成される。

1. カレンダーデータ（過去7日間）を取得
2. 取得したデータに基づいてメールコンテンツを作成
3. 作成したメールを送信
4. 実行結果を生成
5. 結果を表示

たとえカレンダーに悪意のある内容が含まれていても、メール送信という操作はすでに確定しているため、悪意のある指示がシステム操作に影響を与えることはない。

命令分析段階では、通常のチャットプロンプトではなく、コード生成のような専用プロンプトを使用することで、出力形式を固定化できる。出力形式が固定されると、機械的な検証が可能になり、処理速度の向上、エラーの削減、デバッグの容易化、段階的な改善といったメリットが得られる。

従来のLLM（大規模言語モデル）の使用を制限することで、プロンプトインジェクションの影響を抑えることができる。例えば、URLの内容に関する質問に対し、LLMが生成した応答は画面に表示されるだけで、システム操作に影響を与えることはない。

また、外部APIやMCP（マネージドコントロールプレーン）外部操作を含む場合、ユーザーの承認を得る実装も可能だ。リスクレベルに応じて適切な情報を開示することで、安全性とユーザビリティのバランスを取ることができる。

具体的な処理手順が特定できない場合は、デフォルト処理（応答生成→出力）を実行することで、完璧な事前判断の必要性を排除し、実用性を向上させることができる。

命令分析の複雑さに対処するため、専用プロンプト内で確認応答型の応答を許可することができる。「不要なデータを整理して」のような曖昧な指示に対し、「どの整理方法を希望しますか？」といった確認を求めることで、セキュリティを損なうことなく、ユーザーの意図を正確に把握することができる。

実装上の課題として、チャット履歴の信頼性管理が挙げられる。チャット履歴には、Web検索結果などの外部データが含まれる可能性があり、信頼性が損なわれる可能性がある。命令分析に使用するチャット履歴は、画面に表示されたコンテンツと表示されていないコンテンツに分離する必要がある。

UI（ユーザーインターフェース）の分離も重要だ。命令とデータを混合して入力するのではなく、命令フィールドとデータフィールドを物理的に分離することで、悪意のある指示がシステムに混入するリスクを軽減できる。

MCP選択時のインジェクション対策として、MCPの説明文をLLMで要約したり、分析結果と名前を比較したりする方法がある。

複雑な条件分岐を含む指示に対応するため、外部処理の応答を構造化し、テキスト部分と結果部分（intやbooleanなど）を明確に分離することで、LLMを介さずに結果を判断し、被害を最小限に抑えることができる。

多段階処理アーキテクチャは、単なる技術的な改善ではなく、AIセキュリティにおける根本的なパラダイムシフトだ。完璧な攻撃検出から、攻撃経路の構造的な排除へと転換することで、予測不可能な攻撃に対する信頼性の高い防御を実現する。AIの能力的な限界と攻撃関連の損害を明確に区別し、前者を許容し、後者を構造的に防止することで、実用的で安全なAIシステムの実現を可能にする。