AIがオンライン画像でコンピューターに侵入？クリックしていないのに動くPC：AIエージェントを騙す“悪性ピクセル”の正体

画像が“開けっぱなしの裏口”になる日——AIエージェント時代の新しい攻撃面「目に見えない命令」

2025年9月14日（米国時間）にLive Scienceが報じた新研究は、AIエージェントが普及する近未来に向けて、私たちのPC環境に新しい種類の「裏口」が生まれつつあることを示した。研究はオックスフォード大学のチームによるもので、デスクトップ壁紙やSNSの投稿画像、広告バナー、PDFに紛れた“見えない指令”が、画面を逐次スクリーンショットで読み取り操作するOSエージェントをハイジャックできる、と実証したのだ。実世界の被害はまだ報告されていないが、成立条件が揃えば現実味は高い——だからこそ今、注意喚起が必要だ。Live Science

何が起きるのか：画像が命令に化けるまで

この攻撃は「Malicious Image Patches（MIP：悪性画像パッチ）」という、ごく小さな画素の改変を利用する。人間の目には通常画像と見分けがつかないが、エージェントの背後にいる視覚言語モデル（VLM）がスクリーンショットを解析する際に、そのパッチが“命令文”として解釈されるよう最適化されている。たとえば、壁紙の一部に埋め込まれたMIPが「特定サイトへ遷移せよ」とエージェントに“読ませ”、結果としてダウンロードや入力の自動化APIを呼び出させる、といった具合だ。研究チームはこの手法が複数のVLMや画面構成・プロンプトにまたがって成立すること、さらにリサイズや圧縮を経ても効き目が残ることを示している。ar5iv

ポイントは、ユーザーが画像を直接モデルに与えなくても成立すること。OSエージェントはGUIを操作するために自動でスクリーンショットを撮り続ける。その視界にMIPが入り込めばよい。だから、デスクトップ壁紙は理想的な“滞在場所”になるし、SNSのタイムラインやWeb広告に仕込んでもよい。可視テキストのフィルタでは検知が難しい。ar5iv

今回の研究の射程

本研究は、OSエージェントという新しいソフトウェア形態に特化した攻撃ベクトルを体系的に提示した点で意義が大きい。これまでの“プロンプトインジェクション”研究はテキスト経由が中心で、画像経由の実証は限定的だった。論文はMIPが複数のエージェントやVLMへ転移し、短い命令から段階的に別の悪性画像へ誘導して“連鎖攻撃”を構成できることまで言及する。ar5iv

Live Scienceの記事は、オープンソース系のモデルが内部構造を観察できるため特に標的にされやすい一方、クローズドソースでも“隠蔽による安全（security through obscurity）”は万能ではない、と研究者コメントを紹介する。つまり問題は設計と運用であり、公開／非公開の二分では解けない。Live Science

“まだ実害なし”は安心材料か？

報道時点で、壁紙1枚からパスワード送信まで至った市中事例は確認されていない。ただし、近い領域での現実的なデモは続々と出ている。たとえばTrail of Bitsは2025年8月、画像のダウンスケーリング時に現れるエイリアシングを利用して不可視の指示をモデルに読ませる手法を公開。Google系の環境（Gemini CLI／Vertex AI／Assistantなど）でカレンダーデータの抜き取りに成功したと報告した。可視上は普通の画像でも、処理の途中で“文字”が浮かび上がる、というわけだ。TechRadar

この一連の研究は、マルチモーダルAIが人のワークフローやPCに“接続”されるほど、防御の難易度が上がることを示す。テキストの出力監査やURLフィルタだけでは足りない。OSの操作系APIに到達する前段での多層防御が要る。ACM Digital Library

SNSの反応：驚愕、懐疑、そして設計論争

X（旧Twitter）

• 研究共著者のYarin Gal氏やAdel Bibi氏は、研究内容とメディア掲載を相次いで案内。可視化しにくい“画像経由の乗っ取り”に注意を促した。セキュリティ研究者や開発者からは「エージェントがスクショを見る限り、画面上のあらゆる画像が攻撃面になり得る」という指摘や、「OS権限に近い行為は常に確認ダイアログを挟め」といった実装論が広がった。X (formerly Twitter)

• 8月のTrail of Bitsによる“Anamorpher”公開告知の投稿には、「生成AIをUIに深く繋ぎ込むならダウンスケール前提の入力制約と二重確認が要る」などのコメントが集まり、実務的対策の共有が進んだ。X (formerly Twitter)

Reddit／コミュニティ

• セキュリティ系スレッドやニュースまとめでは、「不可視の画像命令」×「エージェントの自動操作」という組み合わせを“次世代のフィッシング”と捉える声が目立つ。一方で、「従来のステガノグラフィ（画像にマルウェアや指示を潜ませる）からの延長線」と冷静に位置づけるコメントもあり、検知困難性をめぐる議論が繰り返された。The Hacker News

テックメディア／ブログ

• TechRadarやThe Registerなどは、Trail of Bitsの手口を具体例として取り上げ、現行のプロダクションAIで実証された点を強調。一般ユーザーにも分かる“被害シナリオ”の提示が反響を呼んだ。TechRadar
  
  

なぜ今、危険が増すのか（3つの構造要因）

1. 視覚入力の常時監視
   OSエージェントはスクリーンショットで世界を理解する。ゆえに画面に写るものすべてが入力になる——壁紙・サムネ・広告・PDF。フィルタが効かない“無害な見た目”ほど危険。ar5iv

2. 命令の“短文化”と“連鎖”
   MIPは短い命令でも、まず特定サイトへ遷移→そこに次のMIP→…と段階的に機能拡張できる。1回の視認で足がかりを作れる。Live Science

3. 転移性と堅牢性
   画面レイアウトやスクリーンパーサ、類似VLMにまたがって効き、リサイズ／圧縮にも耐える。一度ばら撒けば再現性が高い。ar5iv
   
   

いますぐできる対策チェックリスト（開発者・組織向け）

• オンスクリーン由来の指示は全拒否：画面上のテキスト・QR・バーコード等からコマンドを抽出しない設計（“スクショはUI理解のみに使う”）。Live Science

• 高リスクAPIに二段階確認：ファイルDL／外部送信／端末設定変更／ターミナル実行は、人間の確認UI（OSネイティブ）を必須化。TechRadar

• 入力前正規化＆寸法固定：画像はダウンスケール手順を固定・前処理で可視化確認（縮小後プレビュー）し、MIPの“読ませ方”を壊す。TechRadar

• レート制限とサンドボックス：ネットワーク送信・ファイル操作・プロセス生成にスロットリング。実行は隔離環境で。ACM Digital Library

• 逆学習による堅牢化：より強力なMIPで**逆学習（adversarial training）**し、VLMの頑健性を強化。Live Science

• ログと可観測性：スクリーンショット→画面解析→API呼び出しの因果チェーンを監査可能に。

個人ユーザーへの実践的ガイド

• エージェントを“常駐”させない：必要時のみ起動。

• 壁紙・スクリーンセーバーをシンプルに：撮影頻度の高い背景は自作の無地が安全。

• SNSフィードを開いたまま放置しない：フィードは画面に写す＝入力であることを意識する。

• AIツールの外部連携を必要最小限に：カレンダーやメール等の権限は細分化。TechRadar
  
  

研究の出所と位置づけ

本件の中核は、2025年3月公開の論文「Attacking Multimodal OS Agents with Malicious Image Patches」。Live Science（9月14日）は、研究者のコメントとともに一般向けにリスクを整理している。8月にはTrail of Bitsが別系統の画像ダウンスケール由来の命令露出を示し、**“エージェント×画像”**がもたらす攻撃面が多方面から裏付けられた。arXiv

結論：エージェントが“画面を見る”という仕様自体が攻撃面であり、目に見えない命令を前提とした設計・運用が不可欠だ。今はまだ“初期警報”の段階。だが普及が早いのはエージェントの方である。対策の主導権は、ユーザーよりも実装側にある。Live Science

Powered by Froala Editor