GMO Cyber Security by Ierae 開始提供「AI 代理滲透測試」

GMO Internet 集團旗下的 GMO Cyber Security by Ierae 株式會社（代表取締役 CEO：牧田 誠）於 2026 年 4 月 27 日正式推出「AI 代理滲透測試」服務。該服務針對企業內部使用的 AI 代理、聊天機器人及 RAG（檢索增強生成）等系統，以與攻擊者同等的手法驗證被用於網絡攻擊的風險。

在此服務中，白帽駭客會根據客戶的業務流程、系統權限設置以及與外部應用程式的連動情況，可視化由 AI 起點導致的資訊外洩、非法操作及權限越權等風險，並提出對策。這使企業能夠在業務中安全地利用 AI。

**服務背景**
近年來，各行各業為了業務自動化和提高生產力，正加速利用 AI。另一方面，企業也日益擔心因使用 AI 而導致個人資訊或業務機密意外外洩，以及 AI 被惡用為網絡攻擊跳板的風險。基於此背景，GMO Cyber Security by Ierae 結合其引以為傲的白帽駭客技術，開始提供以 AI 為網絡攻擊起點的實踐性滲透測試。

**服務概要**
- **驗證客戶業務環境中的網絡攻擊風險**：白帽駭客會訪談客戶的 AI 使用情況，並制定原創測試情境。通過借用測試用的員工電腦，以與實際攻擊者相同的手法驗證業務 AI 中存在的風險。
- **具體風險驗證**：除了針對 LLM（大型語言模型）進行提示詞注入（Prompt Injection）的動作驗證外，還針對 AI 擁有的系統權限、授權數據及連動系統進行測試，將導致資訊外洩或非法操作的具體風險可視化。
- **AI 業務應用風險示例**：
1. 意外資訊外洩：在 AI 可訪問業務數據或機密資訊的狀態下，因惡意提示詞注入操作導致資訊外流至社外的風險。
2. 權限越權：AI 代理被賦予的權限超過業務所需範圍，導致可能訪問或操作原本應受限的數據。
3. 非法操作與橫向移動：惡用與外部系統或工作流的連動，將 AI 作為跳板影響整個系統的風險。

此外，本服務還可根據 AI 安全研究所 (AISI) 發布的「AI 安全紅隊演練手法指南（第 1.10 版）」進行驗證。

**調查對象示例**：
- Microsoft 365 Copilot / Azure OpenAI 等企業級 AI 服務
- 以業務自動化、社內運營支援為目的的 AI 代理
- 進行社內知識搜索、回答生成的 RAG 系統
- 聊天機器人
- 其他包含社內工具連動（文件、工單、CRM、工作流等）的 AI 系統