1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. OpenAIのSora2、プロンプトインジェクションで音声によりモデル内部のルールを漏洩させることができる

OpenAIのSora2、プロンプトインジェクションで音声によりモデル内部のルールを漏洩させることができる

セキュリティニュース

投稿日時: 更新日時:

OpenAIのSora2、プロンプトインジェクションで音声によりモデル内部のルールを漏洩させることができる

AIセキュリティ企業のMindgardは2025年11月12日、OpenAIの動画生成モデル「Sora 2」に関する調査結果を公表し、テキスト以外の出力(画像・動画・音声)を介したクロスモーダルな手法により、モデル内部の指示文(システムプロンプト)の断片を抽出・再構成できたと報告しました。

調査では、音声生成が最も安定して内容を回収でき、短い断片を複数クリップに分割して縫い合わせることで内部ルール一式をほぼ復元できたとしています。Mindgardは、明確な代替手段が整うまでシステムプロンプトを機密設定と同等に扱うことを推奨しています。

背景:Sora 2の悪用報道

2025年11月7日(金)、 404 Mediaは、Sora 2がソーシャルメディア上で女性の絞殺シーンの生々しい動画を生成・拡散するために使用されたと報じました。報道によると、OpenAIはSora 2がそのような出力を防ぐように設計されていると述べているにもかかわらず、ユーザーはSora 2を暴力的または有害なコンテンツに誘導する方法を発見していたことが分かりました。

同社は、この報道が出た直後から検証を進めたと説明しています。今回の調査テーマは、モデルの挙動を規定する内部ルール(システムプロンプト)が、テキスト以外の出力経路から漏えいし得るかという点にありました。

一般的にシステムプロンプトはモデルの安全・運用方針を定義するため、第三者に把握されると安全対策の迂回や回避策の立案に利用されるリスクが指摘されています。

何が判明したか:画像・動画は断片的、音声は復元度が高い

Mindgardは、Sora2の内部ルールを保存しているシステムプロンプトの出力を試みました。テキストでの直接開示要求には拒否される一方、映像・画像・音声など複数モードで情報を表出させるアプローチを試し、画像や動画では文字化けや崩れが多く正確性が低いことが分かりました。

一方、音声出力は連続性が保たれやすく、文字起こしと断片の結合により高い精度で内部指示を再構成できたと結論づけています。

さらに、複数クリップに短文を分散させることで、全体像をつなぎ合わせる復元が可能だったとしています。テキスト出力に比べて、非テキストの出力経路にガードが手薄な場合があることが、漏えいの温床になり得るという示唆です。

※本記事は研究内容を事実として報じるものであり、再現を目的とした手順の提供は行いません。実環境での模倣は重大なリスクを伴います。

プロンプトは無害な設定文ではなく守るべき情報

業界の一部ガイダンスでは、本来機密にすべき情報をプロンプトに含めるべきではないとの立場が示されてきました。ただしMindgardは現実的な運用として、安全・セキュリティの多くがプロンプトに寄りがちであり、他の強制手段(外部ガードレールやアプリ側の制御)には相応の開発・検証コストが要るというジレンマを指摘します。今回の結果を踏まえ、プロンプトが見える前提での攻撃計画を立てられるリスクを念頭に、プロンプトを「機密相当の構成情報」として扱う姿勢を推奨しています。

推奨事項:マルチモーダル前提での漏えい最小化設計

Mindgardは、マルチモーダルAIを開発・導入する組織に対して次を提案しています。

  • プロンプトの機密扱い:アクセス管理・保管・配布を秘密情報と同等に管理します。

  • 全出力チャネルでのセキュリティテスト:テキストだけでなく画像・動画・音声の各経路で情報がにじみ出ないかを検証します。

  • 出力長の制限:長尺出力は断片のつなぎ合わせを容易にするため、必要最小限の長さに抑えます。

  • 異常プロンプトの検知:内部情報を執拗に求める不審な要求パターンを監視・遮断します。

導入企業には、ベンダーに対しプロンプトの機密区分と保護策(非テキスト出力を含む)について説明責任を求めること、性能だけでなくプロンプトガバナンスを評価軸に含めることを勧めています。

参照

Lights, Camera… Leakage: When the System Prompt Crashes the Scene

関連記事

生成AIで安全対策が突破される脆弱性を発見主要なLLMに有効なプロンプト インジェクション「Policy Puppetry」-サイバー攻撃への悪用が容易 ChatGPTに7つの抜け道-間接 プロンプト インジェクションでメモリや会話履歴が漏えいする恐れChatGPTに7つの抜け道-間接 プロンプト インジェクションでメモリや会話履歴が漏えいする恐れ FFRI AMCとOEM製品(NEC、Sky)で脆弱性|JVN#26734798FFRI AMCとOEM製品(NEC、Sky)で脆弱性|JVN#26734798 Linuxの脆弱性を利用した新たな攻撃手法「SLUBStick」Linuxの脆弱性を利用した新たな攻撃手法「SLUBStick」 SolarWinds(ソーラーウインズ)の重大なバグがサイバー攻撃に悪用(CVE-2024-28986)SolarWindsの重大なバグがサイバー攻撃に悪用(CVE-2024-28986) ADOdbのPostgreSQLドライバに深刻なSQLインジェクションの脆弱性(CVE-2025-46337)ADOdbのPostgreSQLドライバに深刻なSQLインジェクションの脆弱性(CVE-2025-46337) Cisco、IOS XE Wireless LANコントローラーの脆弱性に対する詳細解説が公開(CVE-2025-20188)Cisco、IOS XE Wireless LANコントローラーの脆弱性に対する詳細解説が公開(CVE-2025-20188) Windows SMB クライアントの認証リフレクションを利用したサイバー攻撃の手法が発見される(CVE-2025-33073)Windows SMB クライアントの認証リフレクションを利用したサイバー攻撃の手法が発見される(CVE-2025-33073) CentOS Web Panel(CWP)に未認証リモートコード実行の脆弱性(CVE-2025-48703)、20万以上のサーバーが対象CentOS Web Panel(CWP)に未認証リモートコード実行の脆弱性(CVE-2025-48703)、20万以上のサーバーが対象