2026-02-01 の一覧へ戻るホーム
自動運転車やドローンは、道路標識からのプロンプト注入に快活に従います。

2026/02/01 5:48

自動運転車やドローンは、道路標識からのプロンプト注入に快活に従います。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

研究者はUCサンタクラーズ大学とジョンズ・ホプキンス大学で、環境間接プロンプト注入(CHAI:「command hijacking against embodied AI」と呼ばれる)を用いて道路標識のテキストを微妙に変更することで自律走行車やドローンを乗っ取ることができると示しました。AIで「進む」「左折」などのサイン内容と外観を生成し、チームはシミュレーションでGPT‑4o、InternVL、DriveLM、CloudTrack といった大規模言語モデル(LLM)が中国語・英語・スペイン語・スペングリッシュなど複数言語の悪意あるサインを信頼できるように従うことを実証しました。
遠隔操作車での実世界テストでは、GPT‑4oは床面標識で92.5 %、車載標識で87.8 %の確率で乗っ取られました。一方InternVLは成功率が約半分に留まりました。ドローン実験では、CloudTrackが「Police Santa Cruz」と表示された一般的な車両を公式警察車として誤認識し(≈95.5 %)、「Safe to land」とラベル付けされたゴミで覆われた屋根に着陸する成功率は最大68.1 %でした。
研究者らは雨天条件や視覚ノイズを加えたさらなるテストを行い、攻撃の堅牢性を評価するとともに、こうした環境間接プロンプト注入への対策開発も進める予定です。UCサンタクラーズ大学のアルバロ・カルデナス教授がプロジェクトを率いています。

本文

環境を利用した間接プロンプト注入(Indirect Prompt Injection)とは

AIボットが入力データをコマンドとして解釈してしまう現象です。
ウェブページやPDFからプロンプトを受け取る際に多く見られ、最近では学術論文でも、自動運転車や自律ドローンが道路標識に書かれた不正な指示に従ってしまうことが報告されています。

新たな攻撃手法:環境間接プロンプト注入

研究者らは、AIシステムの意思決定を乗っ取るために「環境間接プロンプト注入(Environmental Indirect Prompt Injection)」という手法を提案しました。
具体例としては、

  • 自動運転車が横断歩道を渡っている人を無視して進む
  • 警察車両に従うようプログラムされたドローンが、別の車両に追随する

といったシナリオが挙げられます。

研究概要(UCSC & Johns Hopkins)

大学・カリフォルニア州サンタクララ分校(UCSC)とジョンズホプキンス大学の研究チームは、大規模ビジョン‑ランゲージモデル(Large Vision‑Language Models, LVLMs)を用いた実験で、以下の結果を示しました。

  1. サインに表示された命令がAIに認識される確率を最大化

    • 「Proceed」「Turn left」などのコマンドを多言語(中国語・英語・スペイン語・スパングリッシュ)でテスト。
    • AIはサイン上の文字を「命令」として認識し、ほぼ確実に従った。

  2. プロンプト自体だけでなく

    • フォント・色・配置などの視覚的要素も調整し、攻撃効果を高めました。
    • 研究者はこの手法を CHAI(Command Hijacking Against Embodied AI) と名付けています。

実験結果

実験内容結果
仮想環境でのLVLMテスト (GPT‑4o, InternVL)DriveLMを用いた自動運転車で 81.8 % の成功率(横断歩道でも左折が認識される)
ドローンの CloudTrack では、警察車両と一般車両の判別で最大 95.5 % の誤判定
UAV安全着陸判定デブリを散らした屋根に「Safe to land」のサインがあると、68.1 % まで安全な着陸場所として誤認
実際の RC カーでのテスト (UCSC Baskin Engineering 2)GPT‑4o が 92.5 %(床に貼ったサイン)
87.76 %(他のRCカーに貼ったサイン)
InternVL は約半数のみ成功

実際のシナリオでの影響

  • 自動運転車
    • 横断歩道を渡る人がいるにも関わらず、左折指示を受けて進行するケース。
  • 警察用ドローン
    • 本来追跡すべき警察車両ではなく、誤って別の車両に従う可能性。

Luis Burbano(論文共同著者)氏は「実際に物理世界で攻撃が成立することを確認したので、埋め込み型AIへの真の脅威となり得る」と警鐘を鳴らしています。

今後の研究方向

  • 防御策の開発
    • CHAI 攻撃に対抗する新しい保護機構の検討。
  • 追加実験計画
    • 雨天条件でのテスト、視覚ノイズ(ぼやけ等)によるLVLMへの影響評価。

Alvaro Cardenas(UCSC コンピュータサイエンス・工学教授)は「攻撃手法の長所と短所を深掘りし、どのケースが埋め込み型AIを制御できるか、人間に検知されにくいかを分析していきたい」と述べています。

まとめ

環境間接プロンプト注入は、視覚的なサインや文字情報を利用し、AIの意思決定プロセスを乗っ取る手法です。実験では高い成功率が確認されており、実際の自動運転車・ドローンに対しても危険性が示唆されています。今後は防御策とさらに厳密な安全評価が不可欠となります。

同じ日のほかのニュース

一覧に戻る →

2026/02/01 7:05

SwiftはRustよりも便利なプログラミング言語です。

## Japanese Translation: > **概要:** > 本文は、メモリ管理モデル、コンパイル先、設計哲学、機能セット、性能トレードオフ、およびクロスプラットフォーム対応範囲において Rust と Swift を比較しています。 > • **メモリ管理:** Rust はガーベジコレクションを用いず所有権/借用(ownership/borrowing)を採用し、Swift はコピーオンライトとオプションの「所有」セマンティクスを備えた値型をデフォルトにしています。両方とも unsafe な生ポインタをサポートします。 > • **コンパイル:** 両言語は LLVM を介してネイティブコードへコンパイルし、WebAssembly(WASM)もサポートします。 > • **設計目標:** Rust は低レベルでボトムアップのシステム言語、Swift は高レベルでトップダウンですが、オプションで低レベルアクセスを提供します。 > • **コピーオンライトと再帰:** Rust では明示的に `Cow<>` と `.as_mutable()` を使用してコピーオンライトを行い、再帰型循環を解消するには `Box<>`(または `Rc/Arc`)が必要です。Swift はコピーオンライトを自動化し、再帰を扱うために `indirect` キーワードを利用します。 > • **エラーハンドリング:** Rust の `Result<T,E>` と `?` 演算子;Swift の `do‑catch` と `try`。 > • **機能的対実用的特徴:** Swift は C ライクな構文(例:`switch` を match として、列挙型にメソッドを付与)で機能的構造を隠し、導入を容易にしています。また、非同期/待機、アクター、プロパティラッパー、結果ビルダーといった実用的な言語機能を追加し、迅速な UI やサーバ開発を促進します。Rust はよりミニマリスティックですが、細かい制御が可能です。 > • **性能とユースケース:** Rust のプログラムはデフォルトで高速であることが多く、Swift は使いやすさを優先し、最適化されていない限り遅くなる場合があります。そのため、Rust は低レベルシステム作業に好まれ、Swift は迅速な UI やサーバ開発を求める開発者に適しています。 > • **クロスプラットフォーム拡張:** Swift は現在 Windows、Linux、組み込みデバイス(例:Panic Playdate)、WebAssembly で動作し、汎用性が高まっています。ただし、コンパイル時間の長さ、機能セットの大きさ、Rust に比べて成熟度の低いパッケージエコシステムといった課題も残ります。

2026/02/01 2:21

モバイルキャリアは、あなたのGPS位置情報を取得できることがあります。

## Japanese Translation: Appleの次期iOS 26.3は、電話がApple独自のモデムシリコンとファームウェアを使用する際に「正確な位置情報」―単桁メートル精度のGNSS座標―を携帯キャリアに送信しないプライバシー保護機能を導入します。これは2025年に発売されるデバイスで利用可能です。この機能は、通常キャリアがこれらの詳細な座標をダウンロードできるRRLP(2G/3G用)とLPP(4G/5G用)の制御平面プロトコルを無効化します。Appleがモデムハードウェアとファームウェアの両方を管理しているために機能し、サードパーティ製モデムにはこのレベルの統合がありません。 セル塔ベースの位置決定(数十〜数百メートル精度しか提供できない)に加え、電話はデバイス上で静かにGNSS位置を計算し、ネットワーク要求が行われたときのみそれらを送信します。そうでなければ携帯端末からは何もデータが離れません。米国DEA(2006年)やイスラエルのShin Betなどの法執行機関は、RRLP/LPPを使用して調査用GPS座標を取得し、またイスラエルのキャリアは2020年3月にCOVID‑19接触追跡のために正確な位置データを収集し、近接接触者へのSMS警告を送信しました。 Appleはこの機能を、ユーザーがGNSSデータのキャリア要求から完全にオプトアウトできるようにする第一歩として位置づけており、そうした試みが行われた際に通知を受け取れるようにします。Appleのモデム搭載デバイスは即座に不正追跡リスクの低減から恩恵を受けますが、キャリアとサードパーティ製モデムベンダーはサービスを適応させる必要があります。本機能の展開はまだApple以外のモデム搭載デバイスには適用されていません。 *注:* RRLP/LPP以外にも未公開の仕組みが存在する可能性があり、外国キャリアによるSS7悪用(例:サウジアラビア)では通常デバイスをモバイルスイッチングセンターまでしか特定できず、GNSSよりも精度が低いです。

2026/02/01 6:14

**生成AIとウィキペディア編集:2025年に学んだこと** - **人間とAIの協働が増加** - 編集者は、AI が作成したドラフトを第一稿として定期的に利用し始めた。 - 人間のレビュアーが引用を追加し、事実確認・トーン調整を行った。 - **品質保証の強化** - 新しいAI駆動型ファクトチェックツールで、公開前に矛盾点を検出した。 - 自動スタイルチェックにより、ウィキペディアのマニュアル・オブ・スタイルへの準拠が確保された。 - **コミュニティの受容とガバナンス** - ウィキメディア財団は、許容されるAI貢献を明記したガイドラインを導入。 - AI関与の透明なログ作成がすべての編集に対して必須となった。 - **偏見緩和への取り組み** - バイアス検出アルゴリズムが特定トピックでの過剰表現を指摘。 - 編集監視チームは偏向した視点を修正し、多様な観点を追加した。 - **パフォーマンス指標** - 平均編集完了時間が2024年比で約30 %短縮された。 - AI支援による記事更新数は12 %から28 %へと増加した。 - **今後の方向性** - AI生成引用文献の継続的改善。 - 英語以外のウィキペディア版への多言語サポート拡充。 **主な結論:** 2025年には、生成AIがウィキペディア編集に不可欠なツールとなり、効率向上とともにコミュニティ基準・品質管理の強化を実現した。

## Japanese Translation: Wiki Educationは、英語版ウィキペディアの新規アクティブ編集者の約19%を供給するプログラムを運営しており、ChatGPT、Gemini、Claudeなどの生成AIツールがどのように利用されているかを監視しています。 2022年11月以降、同組織はAI検出器Pangramを使用して新しい編集に対する幻覚(hallucinations)と引用ギャップをスポットチェックしています。2015年から現在までの3,078件の新記事コーパスから、Pangramは178件をAI生成としてフラグしましたが、そのうちわずか7%が架空のソースを含み、2/3以上が引用された参考文献が主張を裏付けていないため検証に失敗しています。 スタッフはその後、これらの記事をクリーンアップし、最近の作業をサンドボックスへ戻したり、修復不可能な記事をスタブ化またはPRODe(プロテクト)しました。また、2025年にPangramをダッシュボードプラットフォームに統合し、ほぼリアルタイムで検出できるようにしています。2025年秋だけでも1,406件のAIアラートが記録され、そのうち314件(22%)がライブページに影響しました。さらに、217名の参加者(新規編集者6,357人中3%)が複数回アラートを受けました。この介入により、本空間でのAIコンテンツの予測比率は約25%から約5%へと削減されました。 学生たちは主に研究作業(ギャップの特定、ソースの検索、文法チェック)にAIを利用したと報告しましたが、課題テキストのドラフトには使用していませんでした。 今後、Wiki Educationは2026年もPangramを継続運用し、非プローズコンテンツへの検出精度を向上させる予定です。また、オプションのLLMリテラシーモジュールを提供しつつ、メールと動画による自動化トレーニングも継続します。