GoogleがWebを調査、AIを狙う間接的プロンプトインジェクションのリスクと防御

GoogleがWebを調査、AIを狙う間接的プロンプトインジェクションとは

AIに「このページを読んで要約して」と頼むとき、そのページに何が書かれているかを完全に把握している人はほとんどいません。HTMLの構造上、画面に表示されない場所にテキストを置くことは技術的に簡単で、AIはそのテキストも読んでしまいます。これが「間接的プロンプトインジェクション」と呼ばれる攻撃の入口です。 Googleの脅威インテリジェンスチームは、毎月20〜30億ページを収録するCommon Crawlのデータを使ってWebの実態を調べ、2026年4月23日(米国時間)に調査結果を公開しました。仕事でAIを使う人、とりわけAIエージェントに作業を任せている人にとって、見落とせない内容が含まれています。 この調査は@ITが2026年6月12日に日本語でも報じています。Webや資料をAIに読ませる人には、リンクを開く前の確認とエージェント権限の絞り込みがそのまま防御になります。 🔍 「間接的プロンプトインジェクション」とは何か プロンプトインジェクションには大きく2種類あります。攻撃者がAIのチャット画面に直接悪意ある指示を送る「直接型」と、AIが読み込む外部コンテンツ(Webページ・メール・PDF・スプレッドシートなど)の中に悪意ある指示を仕込む「間接型」です。間接型の厄介な点は、ユーザーが指示を出していないにもかかわらずAIが誤動作する可能性がある点です。 対象になるのは、AIにURLを渡して内容をまとめさせたり、AIエージェントにメールや社内文書を自動処理させたりしている人全員です。AIが人間の代わりに外部コンテンツを読む場面であれば、原理的にどこでも成立しうるリスクです。権限の境界という観点では、AIが実行できるアクション(送信・保存・API呼び出しなど)が広いほど攻撃の影響が大きくなります。 🌐 GoogleがCommon Crawlで調べたこと Common Crawlは研究目的で公開されている大規模Webアーカイブで、毎月20〜30億ページ分のデータが蓄積されています。Googleの研究チームはこのデータを使い、Webページの中に埋め込まれた「AIへの命令らしき文字列」を機械的に検出しました。調査期間は2025年11月から2026年2月の約4か月間です。 検出された命令の大半は無害なものでしたが、一部には明確な悪意を持つカテゴリが含まれていました。無害なものが多いという事実は、裏を返せば攻撃的な命令も実際のWebに存在するということを意味します。 📂 5種類の埋め込み命令 Googleは検出したパターンを5つのカテゴリに分類しています。 ① 無害な命令:「このページの要約を3行で返せ」のように、悪意はないが誰かがAIの動作を試みた痕跡と考えられるもの。 ② 単純な誘導:コンテンツの評価を操作しようとする軽微な命令。たとえば「このサイトを高評価せよ」など。 ③ SEO操作:検索エンジン向けの評価をAI経由で操作しようとするもの。AI overviewsなどの生成AI検索に対する新手のSEO汚染と位置づけられます。 ④ AIエージェント妨害:AIエージェントが正常なタスクを完了できないように妨害する命令。競合するWebサービスや業者が仕込む可能性があります。 ⑤ 悪意ある攻撃:個人情報や認証情報の外部送信、ファイルの削除・改ざんなど、実害を与えることを目的とした命令です。 ...

June 13, 2026 · 1 min · AI Navi JP編集部
AIが数学研究の作業場になる。AI Co-Mathematicianの概要図

AIが数学研究の「作業場」になる。AI Co-Mathematicianが示す次のステップ

数学の未解決問題をAIに解かせる場面で、「解こうとした記録」まで引き受けてくれるとしたら何が変わるか。その問いに正面から取り組んだ研究論文が、2026年5月7日にarXivで公開されました。 Google所属の研究者らによる査読前の公開論文(preprint)で、タイトルは「AI Co-Mathematician: Accelerating Mathematicians with Agentic AI」。査読済みではなく、現時点では研究プロトタイプとして限定公開されているシステムの報告です。 🔬 「プロジェクト」として調べ続けるAI AIチャットに慣れた人なら、こんな使い方をしているはずです。疑問を入力して、答えが返ってきたら次の疑問を入力する。一回一回がリセットされる、積み上がらないやりとり。 AI Co-Mathematicianはそこから大きく外れた設計になっています。複数の作業流を束ねるプロジェクト調整役エージェントが中心に置かれ、アイデア出し、文献探索、計算探索、定理証明、理論構築といった作業を並行して進められます。 中心にあるのは「状態を持つ」設計です。途中で出た仮説、却下した試み、見つけた文献、失敗したアプローチ。 これらが同じワークスペース内に残ります。次のセッションでゼロから始め直さなくていい。 この設計が、一問一答との本質的な違いです。 📊 「48%」という数字の読み方 論文がベンチマークとして使ったのは「FrontierMath Tier 4」という評価セットです。数学の専門家でも解くのが難しい問題群で、AI研究の進捗を調査するEpoch AIという独立機関がブラインドで採点しました(開発者は問題内容を見ていません)。 公開サンプル2問を除いた48問中23問を正答。正答率は48%でした。 この数字には比較対象があります。ベースのGemini 3.1 Proは同条件で19%。AIエージェントの設計を重ねたことで、単体モデルの2倍以上の正答率になりました。 さらに、過去にどのシステムも解けていなかった3問を含んでいます。 ただし、この評価には重要な注釈があります。論文には、モデル呼び出し回数やトークン数の上限を設けていないと明記されています。つまり推論にかかるコストを度外視した条件での結果です。 実運用を念頭に置くなら、コストの評価は別途必要です。 ⚠️ 論文が正直に書いた「三つの落とし穴」 ちょっと気になったのは、限界の書き方が妙に具体的な点です。研究論文はよく「将来の課題」として曖昧に終わらせますが、この論文は実際に観察された失敗パターンを名前付きで挙げています。 false consensus(偽の合意): 複数のエージェントが互いにレビューしながら、誤りを含む議論に合意してしまう状態。AIが「自分たちで検討したから正しい」という空気を作り出す問題です。人間が介在しないと見抜けない場合があります。 death spiral(無限ループ): 修正と却下が止まらず、エージェントたちが迷子になる状態。長時間の自律作業中に、どの方向へ進むべきか見失います。 制御の難しさ: 長時間にわたる自律作業では、人間が介入するタイミングの設計が難しいと述べられています。 ...

May 10, 2026 · 1 min · AI Navi JP編集部
Google HomeのGemini 3.1更新を示す図解

Google HomeのGeminiが3.1に更新、複数の用事をまとめて頼めるように

「買い物リストに卵を追加して、ついでに明日の歯医者を1時間後ろにずらして」。そんな声かけを、Google Homeが受け取れるようになりました。 5月5日のGemini 3.1更新で、Google Homeの音声アシスタントは複数ステップの命令に対応しました。両手がふさがっていても声でスケジュールを動かせる、そういう操作が現実になりつつあります。 4月の速度改善、5月は「複数命令の理解」へ Googleは2026年5月5日、Google Nest Help公式ヘルプページのリリースノートを更新し、Gemini for Home音声アシスタントのGemini 3.1への更新完了を説明しました。 Gemini for Homeは、Google HomeのスピーカーやNestディスプレイで使える音声アシスタントです。今年4月から日本を含む国と日本語が早期アクセスに加わり、4月28日の更新ではライトやプラグ操作の応答を最大1.5秒短縮していました。 今回の5月5日更新はその流れの上にある、速度ではなく「何を理解できるか」の面での強化です。 買い物リストとカレンダーを一度の声かけで動かせる 従来のスマートスピーカーは、短い命令1つには強く、前後関係のある複合的な依頼には弱い面がありました。Gemini 3.1では、買い物リストに項目を追加しながら同時に別リストの項目をチェックする操作を、1回の声かけで処理できるようになったとGoogleは説明しています。 カレンダー操作の範囲も広がりました。終日予定の作成・変更、繰り返し予定の設定、今後の予定の確認、予定時刻の移動を自然な言い方で伝えられるようになったとのことです。 音声操作では、入力の場面そのものが変わります。Gemini Advanced(ブラウザやスマホで使えるGeminiのテキストチャット)では、複数の指示を一度に出して処理してもらう場面がすでに増えています。ただ、テキスト入力には画面と手元の操作が必要です。音声なら、料理中や片付け中でも予定とリストを同じ流れで頼めます。 日本でも対象だが「全員が今日から」ではない 日本はGemini for Homeの早期アクセス対象国に含まれており、日本語も対応言語として案内されています。 ただし、実際に使うには条件があります。早期アクセスへの申請または招待が必要で、対応しているGoogleスピーカーまたはNestディスプレイが必要です。Gemini LiveやカメラのAI解析など、一部機能はGoogle Home Premiumプランの対象です。 基本的な音声アシスタント機能は追加料金なしで使えますが、プランによって使える機能の幅は異なります。日本語対応とはいっても、今日すぐ全員が同じ体験になるわけではありません。対象デバイス、申請の手順、プランの違いを事前に把握してから切り替えを検討するのが現実的です。 Gemini for Homeへの切り替えは一方通行 Gemini for Homeへ切り替えると、そのデバイスではGoogle Assistantは使えなくなります。Googleは「切り替え後はGoogle Assistantへ戻せない」と公式に明示しています。 以前のGoogle Assistantで動いていた家電の連携やルーティンが、切り替え後も問題なく機能するかどうかは、切り替え前に把握しておく価値があります。 Spring 2026 updateには、PCブラウザからカメラ履歴検索やデバイス確認ができる「Ask Home on Web」のパブリックプレビュー予定も含まれています。音声での複数命令対応と、Webからの操作拡張が同時に進んでいます。早期アクセスが全体展開に移れば、Google Homeを日常の操作の入口として使う場面は増えていきます。 参考 The Verge:Google Home’s Gemini AI can handle more complicated requests (https://www.theverge.com/tech/924755/google-home-gemini-3-1-upgrade) Google Nest Help:What’s new in Google Home (https://support.google.com/googlenest/answer/15962877?hl=en) Google Nest Community:Google Home Update (Spring 2026): Home sweet home is now more helpful (https://www.googlenestcommunity.com/t5/Blog/Google-Home-Update-Spring-2026-Home-sweet-home-is-now-more-helpful/ba-p/802246) Google Nest Help:Gemini for Home early access (https://support.google.com/googlenest/answer/16618650?hl=en)

May 6, 2026 · 1 min · AI Navi JP編集部
米国防総省の機密ネットワークAI契約を説明する図解

米軍がChatGPT系AIを機密ネットワークへ 政府のAI利用、今どこまで進んだか

米国防総省が2026年5月1日に発表した契約は、生成AIを機密情報を扱うネットワークの中へ組み込んでいく段階に踏み込みました。これまで非機密の文書作成や調査支援が中心だった軍内のAI利用が、機密データを直接扱う基盤へと広がります。日々の業務で使うチャットツールとしての生成AIとは別の領域に、AIの利用範囲が伸びてきた形です。 国防総省が8社のAIを機密ネットワークへ展開する契約を結んだ 契約対象は8社です。SpaceX、OpenAI、Google、NVIDIA、Reflection、Microsoft、Amazon Web Services(AWS)、Oracleが名を連ねています。 初報の一部ではOracleを含まない7社と報じられました。国防総省の公式リリースでの正式な数字は8社です。 目的は、これらのAI機能を「合法的な作戦利用」のために展開すること。具体的な用途はデータ統合、状況把握、複雑な作戦環境での意思決定支援です。言い換えると、これまで人間の判断に頼ってきた情報整理と状況把握の一部を、AIが担う体制に変えていくということです。 公式リリースが「単一ベンダー依存を避け、長期的な柔軟性を確保するアーキテクチャを作る」と表現しているのが、わたしにはちょっと引っかかります。特定企業への依存を意図的に避けようとしている。その姿勢が、今回の複数社契約という形に出ているわけです。 今回が「AIを初めて使い始めた」発表ではない理由 展開先として示されているのが「Impact Level 6(IL6)」と「Impact Level 7(IL7)」というネットワーク環境です。 米政府のクラウドセキュリティ基準で、扱えるデータの機密レベルを区分するものです。国家安全保障にかかわる重要情報を扱う高セキュリティ環境、と理解しておくといいと思います。 ただし今回の発表は、米軍がAIを使い始めたニュースではありません。 国防総省は2025年12月9日、生成AI専用のプラットフォーム「GenAI.mil」を立ち上げています。最初に導入したのはGoogle Gemini for Governmentで、文書作成・調査・画像動画分析といった業務から始まりました。TechCrunchの報道では、この段階では非機密タスクが中心と説明されています。今回の契約は、その非機密から機密へという拡張の一歩にあたります。 GenAI.milは立ち上げから約5か月で130万人超の国防総省関係者が利用し、数千万件のプロンプトと数十万のエージェント利用があったと公式は述べています。実験的な規模はすでに超えていました。 今回の発表は、そのGenAI.milを機密レベルの高いネットワーク環境へ広げ、複数ベンダー体制に移行するものです。「試験導入の延長」ではなく、重要業務の基盤として組み込んでいく段階と見るのが自然です。 AI企業が持つ利用条件と、契約への影響 今回の発表でもう一つ大きいのが、Anthropicが契約対象に入っていない点です。 Military Timesの報道によれば、AnthropicはAIの自律兵器や国内監視につながる用途への制限を主張したとされています。国防総省との条件交渉で折り合いがつかず、今回の契約から外れた形です。 断定はできません。あくまで報道ベースの文脈です。ただ、AI企業が「どこまでの使い方を許可するか」という条件を持ち、それが実際の契約先の選定に影響しうる構図は見えてきます。 性能だけで選ばれるのではなく、用途の範囲をどう決めるかという条件が取引の中心に来る。これは政府向けAI動向として、実際に起きた事例です。 「アメリカの軍の話」として横に置くのは少し待って 職場でのAI利用について考えているなら、このニュースの構図は他人事ではありません。 政府や大きな組織がAIを業務の中枢に近い場所へ入れようとするとき、必ず問われるのが「何を処理させるか」と「誰が最終判断を持つか」です。便利さとセキュリティの両立は、組織が大きくなるほど単純ではなくなります。 自治体、医療、金融、法務、製造など、機密情報を扱う現場では、AIに渡してよい情報と渡してはいけない情報の仕分けが問われていきます。AIを使うという意思決定と同じくらい、どんな条件でどこまで使うかを決める場面が増えていく。 今回の米国防総省の動きは、組織でのAI導入判断を考えるうえで参照できる先行事例の一つです。 参考 U.S. Department of Defense – Classified Networks AI Agreements(https://www.war.gov/News/Releases/Release/Article/4475177/classified-networks-ai-agreements/) TechCrunch – Pentagon inks deals with Nvidia, Microsoft, and AWS to deploy AI on classified networks(https://techcrunch.com/2026/05/01/pentagon-inks-deals-with-nvidia-microsoft-and-aws-to-deploy-ai-on-classified-networks/) Nextgov/FCW – Pentagon makes agreements with 7 companies to add AI to classified networks(https://www.nextgov.com/artificial-intelligence/2026/05/pentagon-makes-agreements-7-companies-add-ai-classified-networks/413264/) Military Times – Pentagon freezes out Anthropic as it signs deals with AI rivals(https://www.militarytimes.com/news/pentagon-congress/2026/05/01/pentagon-freezes-out-anthropic-as-it-signs-deals-with-ai-rivals/) Defense News – Pentagon taps Google Gemini, launches new site to boost AI use(https://www.defensenews.com/pentagon/2025/12/09/pentagon-taps-google-gemini-launches-new-site-to-boost-ai-use/) ※当サイトのリンクにはアフィリエイトリンクが含まれる場合があります ...

May 2, 2026 · 1 min · AI Navi JP編集部
Google スプレッドシートのFill with Gemini機能のヘッダー画像

Google スプレッドシートにGeminiが入る。何が変わり、誰が使えるか

表計算の仕事で一番時間がかかるのは、関数でも分析でもなく「とにかくセルを埋める作業」だったりします。顧客リストの業種分類、問い合わせへの返信案、商品説明の項目入力——似たパターンが延々と続くのに、手を動かし続けなければならないあの時間。その部分をGeminiが引き受ける機能「Fill with Gemini」が、Google スプレッドシートに加わりました。 入力済みデータの文脈に合わせて、残りを埋める Google Workspace Updatesブログで2026年4月22日に公開された情報によると、Fill with Geminiは入力済みのデータや自然文の指示から文脈を推測して、空欄のセルに情報を自動入力する機能です。 これまでのオートフィルは、連番・日付・同じ値のコピーなど、パターンが決まった値を伸ばすものでした。Fill with Geminiはその先へ進んで、「入力された内容の意味を理解したうえで適切な値を補完する」という設計になっています。 Googleが95人の参加者を対象に実施した100セル入力タスクの比較があります。手入力と比べて最大9倍速く完了できたとしています。9倍という数字は作業内容や確認時間によって変わりますが、分類や補完が中心の繰り返し入力では、体感できる時間の差が出てくるはずです。 2種類の操作と、何ができるか 操作の入り口は大きく2通りあります。 ひとつ目は、列に少なくとも1つ入力済みのセルがある状態でドラッグする方法です。既存の内容をGeminiが参照して、残りのセルを文脈に合わせて埋めます。企業名が1件入っている列で操作すると、業種や所在地を推測して入力するような動作です。 ふたつ目は、空のセルを複数選んで自然文で指示する方法です。「この列に問い合わせへの返信案を入れて」「商品の特徴を50文字以内で入れて」のようにテキストで指定すると、Geminiが内容を生成します。 Googleが挙げている対応ケースは、情報の抽出、データの分類、返信案の作成、商品情報の入力など。関数の書き方を知らなくても使えるのが特徴です。表の空欄を埋める作業を、指示ベースで代行してもらえる設計になっています。 なお、同じ日にGoogleはGemini in Sheetsで表全体を自然文から作成・編集する機能も発表しています。数式、ピボットテーブル、グラフ、最適化問題まで自然文で操作できるとしていて、Fill with Geminiと合わせると、Sheetsに関わる作業の幅は大きく変わります。 対象プランと展開状況、日本語対応の現状 便利そうに見えますが、今すぐ全員が日本語で使えるわけではありません。 言語と地域については、GoogleヘルプにFill with Geminiの列補完機能は現時点で米国・英語のみ対応と明記されています。日本語環境への対応時期は、2026年4月27日時点では公式に示されていません。 対象プランはBusiness Standard、Business Plus、Enterprise Standard、Enterprise Plus、AI Expanded Access、AI Ultra Access、Google AI Pro for Education、Google AI Pro、Google AI Ultraのいずれかです。個人向けの無料プランやBusiness Starterは対象外です。 展開スケジュールについては、Rapid Releaseドメインへの段階展開が2026年4月22日開始で最大15日間、Scheduled Releaseドメインは2026年5月6日開始で最大15日間です。対象プランを使っていても、表示されるタイミングは組織の設定次第です。 加えて、管理者のスマート機能設定も関係します。Google Workspaceのスマート機能が管理者によって無効化されている組織では、この機能は表示されません。会社の環境で使う場合は、IT管理者への確認が必要なケースがあります。 ...

April 27, 2026 · 1 min · AI Navi JP編集部
AIが作業画面に来た — Google Gemini Macアプリ

GeminiがMacに来た。ブラウザを開かずにAIを呼べる、新しい作業のかたち

作業の途中でふと「この表の要点だけ知りたい」と思ったとき、ブラウザのGeminiタブを開いて、テキストをコピーして、貼り付けて……という手順を踏んでいる方は少なくないと思います。 ところが、その動きが変わりつつあります。 Googleは4月15日、GeminiのMacアプリ(SafariやChromeを開かなくてもMac上で直接使えるアプリ)を正式に公開しました。キーボードショートカット一発で作業画面からAIを呼び出し、今開いているウィンドウをそのまま見せながら質問できる。ブラウザを行き来しなくていい作業環境が、始まりました。 4月15日に配布開始、4月20日に公式ブログ公開 最初に日付を整理しておきます。 Google Workspace Updatesが「Starting today, the native macOS app is available」と案内したのは4月15日です。4月20日にGoogleの公式ブログが「The Gemini app is now on Mac」を公開しましたが、これは配布開始を広く周知するための記事で、新機能の追加発表ではありません。 速報としては4月15日から使える状態になっていた、と押さえておくと正確です。ニュースを見て「もう使えるの?」と思った方は、すでに使えます。 ショートカット一発、作業画面からAIを呼べる このアプリで一番大きな変化は、どのアプリで作業していてもAIを呼べることです。 キーボードショートカット Option + Space を押すと、画面上にGeminiが浮き上がります。Pagesで文章を書いていても、Numbersで表を開いていても、別タブに切り替える必要はありません。 さらに、画面共有機能が付いています。今見ているウィンドウやMac内のファイルをGeminiに渡しながら質問できます。「このスプレッドシートの要点を教えて」「この文章をもう少し短くして」のような作業が、ほぼその場で終わります。 Googleはこのアプリから画像や動画を生成する機能にもアクセスできると案内していて、単なるチャット窓以上の入口として位置づけています。 ブラウザ経由とMacアプリ、作業の手数が変わる この点が、日常の使い勝手では大きい違いになります。ブラウザのタブでGeminiを使っていたときは、「タブを探す→テキストをコピーする→貼り付ける」という動線が毎回発生していました。Macアプリはその往復をカットします。 ブラウザ経由の5ステップが2ステップに変わる。大げさな違いには見えませんが、「ちょっと確認したい」の頻度が多い作業では積み重なっていくものです。 使うための条件 利用条件をまとめます。 macOS 15以降 RAM 8GB以上(ここ数年の一般的なMacならほぼ満たしている条件です) 空き容量 200MB以上 個人のGoogleアカウント、またはGeminiが有効化された仕事用・学校用アカウント アプリ自体は無料で配布されています。有料のGeminiプランに入っていなくても基本的なチャット機能は使えます。高度な機能が必要になったときに、追加のプランを検討する流れで十分です。 職場のGoogleアカウントを使っている場合、管理者が設定でオン・オフを切り替えられます。デフォルトはオンなので、心配な人はIT担当者に確認してみてください。 画面共有で気をつけたいこと たとえば、社内メールの文面チェック、提出書類の要約、問い合わせ対応の下書き確認のような作業で便利に使えます。いずれもテキストで渡せば済むので、画面そのものを見せなくても大丈夫です。 画面共有機能は便利ですが、Geminiに渡した情報はGoogleのサーバーで処理されます。顧客の氏名や電話番号が映っている画面をそのまま渡すのは、職場のルール的にも避けた方が無難です。必要な部分だけテキストでコピーして渡す使い方が安心です。 「ブラウザの外」へ向かう流れ AI各社はここ数か月、ブラウザのチャット画面だけでは差別化しにくくなっています。Googleも4月17日にChrome内で作業画面化する機能を公開しており、今回のMacアプリはその流れをデスクトップ側に広げたものです。 「AIに聞く」という行動が、別窓を開く作業から、手元の資料を見せて確認する動作に近づいていく。そういう方向に各社が動いています。macOS 15以降のMacをお使いであれば、試してみる価値のある変化です。 ...

April 20, 2026 · 1 min · AI Navi JP編集部