結論から。スマホの画面を「見て」自律的に操作するVLM(Vision-Language Model)ベースのAIエージェントには、従来のアプリにはなかった新しい攻撃面があり、悪意あるアプリが特別な権限なしにエージェントの操作を乗っ取り、任意のコマンドを実行させられる——そんな指摘を示した研究(査読前)が公開されました。まだ実験室段階の話ですが、AIエージェントの業務導入を検討する情シスにとって、リスクの「型」を早めに知っておく価値があります。
この記事でわかること
- VLMベースのモバイルAIエージェントが抱える新しい攻撃面の正体
- 研究が示した「権限なしでの乗っ取り」という結果の意味
- 査読前論文としての限界と、情シスが今から意識すべきこと
どんな研究か(1文で)
スマートフォンの画面キャプチャをVLMで解釈して自律操作する「サードパーティ製モバイルAIエージェント」に対し、人間には見えない/気づかれない形で判断を誤らせる新たな攻撃面を体系化し、7つの攻撃を実装して5つのエージェント基盤で検証した研究です。
論文タイトルは「(A)I Sees What You Don’t: Exploiting New Attack Surfaces in Third-Party Mobile Agents」(Zidong Zhang ほか、2026年7月1日 arXiv公開)。査読前のプレプリントであり、結果は今後の検証で変わりうる点を最初にお断りしておきます。
なぜ従来と違うのか
従来のモバイルアプリのセキュリティは、OSの権限(パーミッション)モデルを土台にしてきました。カメラや連絡先にアクセスするにはユーザーの許可が要る、という仕組みです。ところがVLMベースのエージェントは動き方が根本的に違います。
- 画面を「見て」判断する:エージェントは画面のスクリーンショットをVLMに渡し、その推論結果で次の操作(タップ・入力など)を決めます。つまり画面に映るものすべてが入力になります。
- 高い権限で動く「意思決定者」:エージェントはユーザーに代わって複数アプリを横断操作します。個々のアプリの権限とは別に、エージェント自身が強い操作権を持ちます。
この2点が、これまで存在しなかった「隙間」を生みます。
研究が指摘した2つの攻撃面
論文は攻撃面を大きく2種類に整理しています。
| 攻撃面 | 狙い | ざっくりした例 |
|---|---|---|
| 画面認識(Screen Perception)の攻撃面 | 人間とVLMで「見え方」が違う点を突く | 人間の目には見えない微細なテキストやピクセル領域を画面に仕込み、VLMだけに別の指示として読ませる |
| チャネル悪用(Misused Channel)の攻撃面 | エージェントの実行フローを横取り・改ざんする | スクリーンショットの内容を細工したり、連携先(ホストPC等)へのコマンド経路を悪用する |
これは、AIエージェントに対する間接的プロンプトインジェクション(外部から流し込んだ入力でモデルの挙動を乗っ取る攻撃)の、モバイル画面を舞台にした具体例と捉えると理解しやすいでしょう。
何が分かったのか(結果)
研究チームは、サブリミナル的なテキスト注入、不可視ピクセル領域の悪用、スクリーンショット改ざん、ホストPCへのコマンド注入など7つの攻撃を実装し、5つのモバイルエージェント基盤で評価しました。報告された要点は次のとおりです。
- 悪意あるアプリが特別な権限を一切持たなくても、エージェントの操作を乗っ取れた。
- 結果として任意コマンドの実行に至るケースがあった。
- しかも攻撃の仕込みはユーザーの目には通常の画面と見分けがつかない。
著者らは、共有プラットフォーム上で自律エージェントを動かすという設計そのものに信頼の根本問題があるとし、「マルチテナント環境における知覚(perception)を意識したセキュリティモデル」の必要性を訴えています。
情シスの実務への意味
「うちはまだAIエージェントなんて使っていない」と感じるかもしれません。それでも押さえておきたいのは、リスクの構造が従来のアプリ審査・権限管理では捕まえにくいという点です。
- 権限モデルが効きにくい:危険な権限を要求しない「無害に見えるアプリ」が、画面越しにエージェントを操れる可能性があるということ。権限一覧のチェックだけでは検知が難しい。
- 入力の範囲が広がる:エージェントにとっては画面に映るWebページ・広告・他アプリの通知まで、すべてが潜在的な攻撃入力になりえます。
- 導入前の評価軸が必要:業務でスマホAIエージェントやRPA的な自動化を検討するなら、「何を見て、どこまで操作でき、連携先はどこか」を評価軸に加える段階に来ています。
現場目線の所感
正直なところ、現場の感覚として一番やっかいなのは「ユーザーにも管理者にも見えない」という部分です。フィッシングメールなら怪しさを教育で伝えられますが、人間の目に見えないテキストがVLMだけを動かすとなると、従来の「気づき」ベースの防御が通用しません。限られた人員で端末の細部まで目を配るのは現実的に難しく、だからこそ「便利そうだから」と拙速にAIエージェントを全社展開しない、という判断の重みが増していると感じます。
限界と留意点
- 査読前の研究:本論文はプレプリントで、第三者による再現・査読を経ていません。攻撃の再現条件や成功率の一般化には慎重であるべきです。
- 対象は特定の基盤:検証されたのは5つのエージェント基盤であり、すべての製品が同じ弱点を持つとは限りません。
- 過度な一般化は禁物です。「AIエージェント=危険」ではなく、「新しい入力経路には新しい防御が要る」と読むのが妥当でしょう。
まずはここを参照(公的指針)
AIエージェント特有のリスクは発展途上ですが、実務者がまず押さえるべき土台として、生成AIアプリのリスクを体系化したOWASP Top 10 for LLM Applicationsが参考になります(2025年版で「プロンプトインジェクション」がLLM01として最上位)。あわせて、従業員の啓発・注意喚起という地道な土台づくりには、IPA「対策のしおり」など公的な教育資料の活用が有効です。技術的対策とユーザー教育の両輪で備えるのが基本です。
まとめ
- VLMベースのモバイルAIエージェントには、画面認識とチャネル悪用という従来のアプリになかった攻撃面がある(査読前研究)。
- 研究では権限なしでの乗っ取り・任意コマンド実行が、ユーザーに気づかれない形で成立したと報告された。
- 権限チェックだけでは捕まえにくいリスクであり、AIエージェント導入時は「何を見て・どこまで操作するか」を評価軸に。まずはOWASPやIPAの指針で土台を固めたい。
出典
- Zidong Zhang, Zhentao Xie, Wenrui Diao, Jianliang Wu「(A)I Sees What You Don’t: Exploiting New Attack Surfaces in Third-Party Mobile Agents」arXiv:2607.00333(2026年7月1日、査読前プレプリント)https://arxiv.org/abs/2607.00333
- OWASP「Top 10 for LLM Applications(2025)」https://genai.owasp.org/llm-top-10/
- IPA「対策のしおり」https://www.ipa.go.jp/security/guide/shiori.html

