Azure AI Foundry 2025年10月1日の公式ブログ解説: Spotlighting で cross prompt injection 対策

Microsoft Foundry Blog の2025年10月1日の記事では、Azure AI Foundry における Spotlighting の public preview が紹介されています。Spotlighting は Prompt Shields の一部として、入力、文書、Webサイトなどに隠れた悪意ある指示を検出し、エージェントへ届く前にリスクを下げるための機能です。

要点

• Spotlighting が Azure AI Foundry の Prompt Shields の一部として public preview になった
• cross prompt injection、つまり信頼できないコンテンツに埋め込まれた悪意ある指示への対策として紹介された
• エージェントが文書、メール、Webページを読む時代に重要な防御層になる
• RAGやツール実行を持つアプリでは、入力の信頼度を明示的に扱う設計が必要になる

今回のブログ記事で語られていること

公式ブログは、エージェント型AIが強力になるほど、外部入力に埋め込まれた悪意ある指示のリスクが大きくなると説明しています。cross prompt injection は、文書、メール、Webページなどの信頼できないコンテンツに「本来の指示を無視せよ」「機密情報を送れ」といった指示が隠され、エージェントがそれを正当な命令として扱ってしまう問題です。Spotlighting は、こうした不審な指示を検出し、Prompt Shields の一部としてエージェントを守る機能として紹介されています。

この発表の重要性は、RAGやWeb検索、メール処理、SharePoint連携、ブラウザ操作などを持つAIアプリで、入力の出所と信頼度を区別する必要が明確になったことです。エージェントは外部コンテンツを読むだけでなく、ツール実行やデータアクセスも行うため、間接プロンプトインジェクションが成功すると影響範囲が広がります。

対象になりそうなユーザー・チーム

• RAGや外部文書を扱うAzure AI Foundryアプリを作る開発チーム
• エージェントにメール、Web、SharePoint、外部サイトを読ませるプロダクト担当
• AIアプリのプロンプトインジェクション対策を設計するセキュリティ担当

実務で確認したいこと

Spotlighting は重要な防御層ですが、単独で十分とは考えない方がよいです。入力ソースの制限、ツール権限の最小化、機密情報へのアクセス制御、人間承認、ログ監査、テスト用の攻撃文書による評価を組み合わせる必要があります。特にエージェントがアクションを実行する場合、検出だけでなく実行前のガードレールが不可欠です。