AIエージェントに「メモリ(過去のやり取りや設定を覚えておく永続的な記憶)」を持たせると、便利になる一方で新たな攻撃面が生まれます。本記事では、この問題を実際のコーディングエージェントで評価した査読前研究「Bad Memory」を、情シス実務者の視点で解説します。
この記事でわかること
- 「メモリを介したプロンプトインジェクション」が通常のプロンプトインジェクションと何が違うのか
- Claude Code・OpenAI Codex を対象にした評価で分かった要点(上書きは難しいが、埋め込み済みの命令はセッションを越える)
- AIエージェントやコーディングエージェントを社内導入する際に、情シスが押さえるべき論点
※本記事は査読前(プレプリント)論文にもとづきます。arXiv に投稿された段階の研究であり、結果は今後の査読・追試で変わりうる点に留意してください。断定ではなく「そういう傾向が示された」という読み方が適切です。
どんな研究か(1文で)
「Bad Memory: Evaluating Prompt Injection Risks from Memory in Agentic Systems」は、セッションをまたいで状態を保持するAIエージェントの『メモリ』が、プロンプトインジェクションの新たな標的になることを、実際のエージェントを使って検証した研究です(arXiv:2607.14611、2026年7月投稿)。
ここでいうメモリとは、対話履歴だけでなく、エージェントが参照する設定ファイル・行動の好み(プリファレンス)・ナレッジベースなどの永続的な保存物を指します。近年のAIエージェントは、こうしたファイルを読み書きして「学習」し、次回以降のセッションに引き継ぎます。この仕組みが利便性の源泉であると同時に、攻撃の入り口にもなる、というのが論文の問題提起です。
通常のプロンプトインジェクションと何が違うのか
プロンプトインジェクションとは、外部データに紛れ込ませた悪意ある指示をAIに命令として実行させる攻撃です。従来はその場の入力(開いたWebページ、読み込ませた文書など)が主な経路でした。
メモリを介した攻撃の新しさは、攻撃が「その場限り」で終わらず、永続ファイルに残って将来のセッションにも影響しうる点にあります。エージェントは過去に自分が保存した情報を、ユーザーの直接指示と同じくらい信頼して扱いがちです。つまり、一度メモリに悪意ある命令が入り込むと、以降のあらゆる作業がその影響下に置かれる恐れがあります。ソフトウェアで言えば、外部入力の脆弱性というより、設定ファイルに仕込まれた「時限式の指示」に近い性質です。
評価で分かった要点
研究チームは、サンドボックス化した合成ワークスペース上で、実在するコーディングエージェント(Anthropic Claude Code、OpenAI Codex)を対象に攻撃を試行しました。評価対象モデルは Claude Haiku 4.5・Claude Opus 4.7・GPT-5.2・GPT-5.5 です。主な知見は次の通りです。
| 観点 | 研究が示したこと |
|---|---|
| メモリの「上書き」 | 信頼できない外部コンテンツだけを使って、エージェントにメモリを書き換えさせるのは難しい傾向。エージェントは外部データを記憶へ昇格させることに一定の抵抗を示した。 |
| 埋め込み済みの命令 | 一方で、すでにメモリに埋め込まれてしまった悪意あるペイロードは、現在のセッションだけでなく将来のセッションも攻撃できた。永続性こそが脅威の核心。 |
| 成功率のばらつき | 攻撃成功率はシステム・モデル・攻撃の目的によって大きく変動した。単一の「安全/危険」ラベルでは語れない。 |
要するに、「外から一発でメモリを乗っ取る」のは容易でない一方、いったん汚染されたメモリの後始末は難しく、被害が長期化しうるという非対称性が示された、と読めます。
情シスにとって何を意味するのか
この研究が実務に効いてくるのは、AIコーディングエージェントや業務用AIエージェントを社内導入する場面です。多くのエージェントは、リポジトリ直下の設定ファイル(例: エージェント向けの指示書やルールファイル)やユーザーごとの永続プリファレンスを自動で読み込みます。これらの永続物は「メモリ」であり、攻撃者にとっての標的になりうるという視点が要ります。
- メモリ/設定ファイルを構成管理の対象にする:エージェントが参照する指示書・ルールファイルを、コードと同じくレビューとバージョン管理の下に置く。第三者リポジトリやサンプルを丸ごと信頼して読み込ませない。
- 「一度入ったら残る」前提で考える:外部から取り込んだ内容がメモリに昇格していないか、定期的に点検する運用を持つ。汚染が疑われたらメモリを破棄・再構築できるようにしておく。
- 権限を絞る:エージェントに与えるファイル書き込み・コマンド実行・外部通信の権限を最小限にし、メモリ由来の指示だけで危険な操作が完結しないようにする。
なお、当メディアでは関連する話題として AIエージェントの記憶汚染攻撃とは(研究論文の解説)、AIコーディングエージェントの設定ファイル管理リスク、プロンプトインジェクションの根本的な難しさを扱った プロンプトインジェクション完全防御は数学的に不可能 も公開しています。あわせてご覧ください。
限界・留意点
本研究は査読前であり、評価はサンドボックス化した合成環境で行われています。実運用の複雑なワークフローそのものを再現したものではなく、攻撃成功率も条件依存で幅があります。特定のモデルやエージェントを名指しで「危険/安全」と断ずる材料ではなく、メモリという設計上の性質が持つリスクの方向性を示すものとして受け止めるのが妥当です。論文自身も、エージェントの有用な適応(学習)を保ちつつメモリ更新を保護する防御の必要性を課題として挙げており、確立した対策が示されたわけではありません。
情シスはどうすべきか
個別の対策チェックリストを自前で積み上げるより、まずは組織としてのAI利用ルールと、従業員向けの啓発を土台に据えるのが現実的です。IPA の 中小企業の情報セキュリティ対策ガイドライン や 対策のしおり は、AI固有のテーマでなくとも「外部から取り込む情報を無条件に信頼しない」「権限を絞る」といった原則の土台になります。そのうえで、AIエージェントには『メモリも攻撃対象』という一段の視点を足す――というのが本研究からの実務的な示唆です。地道な利用ルールの周知と、現場担当者への注意喚起の積み重ねが、結局は効いてきます。
まとめ
- AIエージェントの永続的な「メモリ(設定ファイル・プリファレンス等)」は、プロンプトインジェクションの新たな攻撃面になりうる。
- 実際のコーディングエージェント評価では、外部データでの上書きは難しい一方、一度埋め込まれた命令はセッションを越えて悪用でき、成功率は条件次第で大きく変わった(査読前研究)。
- 情シスは、エージェントが読み込む設定ファイル/メモリを構成管理・レビューの対象に含め、「一度入ったら残る」前提で権限最小化と定期点検を運用に組み込むとよい。
出典
- Soham Gadgil, David Alexander, Sai Sunku, Franziska Roesner「Bad Memory: Evaluating Prompt Injection Risks from Memory in Agentic Systems」arXiv:2607.14611(2026年7月、査読前): https://arxiv.org/abs/2607.14611
- IPA 中小企業の情報セキュリティ対策ガイドライン: https://www.ipa.go.jp/security/guide/sme/index.html

