ThisIsOne https://blog.hatena.ne.jp/ThisIsOne/ Shikata Ga Nai https://cysec148.hatenablog.com/ Web Security Academy LLM attacks Hello there, ('ω')ノ なぜこの攻撃が成立するのか（最初に“絵”をつかむ） チャットUIは LLMが生成したテキストを innerHTML 的に描画している。 → 出力のサニタイズ不足。 LLM は product_info のような 関数（ツール）経由で「商品名やIDを渡すとレビューなどの情報」を取得し、それを要約＋引用して回答を組み立てる。 → 外部コンテンツ（レビュー）が LLM の回答に混ざる。 レビュー投稿面は直接のXSSを エスケープして防いでいるが、LLM がそれを“文字列として”復元して回答に貼ってしまうことがある。 → 入力は安全でも、出力で爆発。 この三点が… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fcysec148.hatenablog.com%2Fentry%2F2025%2F09%2F14%2F144405" title="Lab: Exploiting insecure output handling in LLMs - Shikata Ga Nai" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2025-09-14 14:44:05 rich https://cysec148.hatenablog.com/entry/2025/09/14/144405 1.0 100%