安全でない出力処理 (Insecure Output Handling)
読み: あんぜんでないしゅつりょくしょり
最終更新: 2026-07-14・AI PICKS編集部
定義
安全でない出力処理とは、LLMの出力を十分な検証・サニタイズなしに後続システムへそのまま渡し、実行・表示してしまうことで攻撃を招くセキュリティ上の欠陥のこと。
安全でない出力処理 (Insecure Output Handling)とは — 詳しく解説
安全でない出力処理(Insecure Output Handling)とは、LLM が生成した出力を十分な検証・サニタイズなしにブラウザ・シェル・データベース・下流のプラグインへそのまま渡してしまうことで、XSS・SSRF・コマンドインジェクション・権限昇格などにつながるセキュリティ上の欠陥を指す。OWASP の LLM アプリケーション脆弱性トップ 10 でも主要カテゴリの一つとされ、AI エージェントがツール実行や API 呼び出しまで担うようになった 2026 年の実運用では、出力を鵜呑みにした自動実行が特に危険とされる。現場での対策は、出力を必ず許可リストで検証する、実行前に人間承認を挟む、権限を最小化する、の 3 点が定石とされる。監視・監査ツールの導入にはコストがかかるため、まずは重要度の高いエージェントから優先的に導入するのが相場感とされる。
安全でない出力処理 (Insecure Output Handling)の使用例
- AI エージェントが生成したコマンドをそのままシェル実行する設定は、安全でない出力処理の典型例とされる。
- チャットボットの回答を検証せず HTML として画面に描画すると、XSS 攻撃を招く恐れがあるとされる。
安全でない出力処理 (Insecure Output Handling)に関連するAIツール
関連用語
「セキュリティ」の他の用語
ユーザー入力で AI の指示を上書きする攻撃。 「これまでの指示は無視して◯◯」 が典型例。
AI の安全制限を回避する手法。 ロールプレイや仮想シナリオで 禁止出力を引き出す。
ガードレールとは、AIシステムが有害・不適切・意図しない出力を生成しないよう制限するための安全制御機構のこと。
レッドチーミングとは、AIシステムの安全性・脆弱性を検証するため、攻撃者の視点から意図的に悪意ある入力やシナリオを試みる評価手法のこと。
シャドーAIとは、企業のIT部門や経営層の承認なしに従業員が個人的に業務で使うAIツール・サービスのこと。情報漏洩・規約違反・ガバナンス崩壊のリスクを内包する。
モデルポイズニングとは、AIモデルの学習データに悪意あるデータを混入させ、モデルの出力や判断を意図的に歪める攻撃手法のこと。
AI用語辞典をすべて見てみませんか
12カテゴリ・552語以上を体系的に整理しています
辞典トップへ