Google の検索バーに ignore や disregard と打ち込むだけで、AI Overview (日本語版「AI による概要」) が辞書定義を返さず、まるで指示を受けたかのように 「以前の指示を無視します」 風の返答を始める ─ という現象が SNS で広まり、9to5Google や Tom's Guide が確認した。Google からの正式な技術説明は出ていないが、これは プロンプトインジェクションの教科書的失敗モードが、世界最大の検索サービスのトップ画面で実演された 事例である。
検索クエリが「命令」に化ける仕組み #
AI Overview の中身は、ユーザのクエリと検索結果のスニペット群を LLM のコンテキストに流し込んで要約させるパイプラインだ。本来 ignore は単なる検索語 ─ つまりデータとして扱われるべき入力だが、LLM はテキストの「役割」を構造的に区別できない。プロンプト末尾に ignore が現れれば、それがシステム指示の続きなのかユーザの質問なのか文字列だけでは判定不能で、確率的には「指示」と解釈する経路が勝ってしまう。
「外部から流れ込んだテキストを、モデルが命令と混同する」── OWASP の LLM01 がそのまま自社プロダクトで再現された格好だ。`definition` を付け足しても挙動は安定しないと報告されており、ヒューリスティクスでは抑えきれていない。
Google 自身が「実害フェーズ入り」を認めた直後 #
象徴的なのはタイミングだ。Google は 5 月 15 日付で 検索スパムポリシーを改訂し、AI Overview や AI Mode の回答を操作するプロンプトインジェクション目的のコンテンツを禁止対象に明示追加した。同日付の Google Security Blog でも、Common Crawl を走査した結果として 2025 年 11 月から 2026 年 2 月にかけて悪意あるインジェクションが 32% 増 と報告している。守る側が「理論から実害へ移行した」と認めポリシーまで動かした矢先に、自社の主力 AI で同類の混同が観測された ─ という構図だ。
攻撃者にとってのシグナル #
実害が出にくい辞書クエリで露呈したのは幸いだが、これが示すのは AI Overview がコンテキスト内の「文字列」を依然として命令として読み得る ということだ。検索結果に乗る Web ページ側に細工した文字列を仕込み、AI Overview の回答を歪める ─ という間接プロンプトインジェクション (IPI) は、ポリシー文言ではなくモデル側の構造で防ぐしかない。SEO とインジェクションの境界が溶けつつある現状で、検索結果に表示される「AI の要約」を鵜呑みにしないユーザリテラシーが、最後の防衛線になりつつある。
COMMENTS 0
No comments yet — be the first to leave one.