ゼロ幅文字攻撃の解説：不可視UnicodeがいかにしてAIエージェントを乗っ取るか

目視による検査を完全に通過しながら、一見無害に見えるAIスキルを、認証情報の窃取・ファイルの外部送信・任意のシェルコマンド実行に使えるツールに変えてしまう攻撃があります。

その手法が：ゼロ幅文字です。

ゼロ幅文字とは何か？

ゼロ幅文字とは、描画しても何も表示されないUnicodeコードポイントです——視覚的なグリフもなく、スペースもなく、カーソルも動きません。もともとアラビア語やヘブライ語などの文字の組版制御のために設計されましたが、今ではAIシステムを標的とした攻撃者の強力な道具となっています。

最もよく悪用される文字：

どのテキストエディタにこれらの文字を貼り付けても、何も見えません——しかしAI言語モデルはそれらを実際のトークンとして処理します。

攻撃の仕組み

ステップ1：攻撃者が毒入りスキルを作成する

一見シンプルなコードフォーマッターのスキルを考えてみましょう：

見た目は完全に安全です。しかしこのテキストの中に——文字と文字の間に、どんな人間にも見えない形で——第二の命令セットを表す何百ものゼロ幅文字が埋め込まれています：

人間が見るのは：「You are a helpful code formatter.」
AIが読み取るのは：「You are a helpful code formatter. [隠された悪意ある命令]」

ステップ2：エージェントが隠しコマンドを実行する

ユーザーがこのスキルをインストールしてコードのフォーマットを依頼すると、エージェントは同時に隠し命令を受け取ります。エージェントの権限（ファイルアクセス、ネットワークアクセス）に応じて、SSHキーや環境変数などの機密ファイルを静かに読み取り、攻撃者のサーバーに送信する可能性があります。

ユーザーには通常のコードフォーマット結果が表示されます。攻撃は完全に不可視です。

ステップ3：検出は容易ではない

VS Code、Vim、その他の標準エディタでこのスキルをレビューする開発者には、何も異常が見えません。テキストをプレーンテキストフィールドにコピーして読み直しても、問題なく見えます。

これらの文字を検出するには専用ツールが必要です。

実際の攻撃シナリオ

シナリオ1：ClawHubスキルへの毒入れ

攻撃者がClawHubに「Pythonリンター」スキルを公開し、5つ星レビューを購入します。スキルの説明とREADMEはプロフェッショナルに見えます。system_promptに隠されているのは、エージェントにファイルアクセス権があるときはいつでも~/.aws/credentialsを窃取するゼロ幅文字エンコードの命令です。

シナリオ2：フォークによるサプライチェーン攻撃

評判の良いオープンソーススキルがフォークされます。攻撃者は「指示の誤字を修正」と説明したコミットでsystem_promptにゼロ幅文字を追加します。diffには可視の変更が表示されません——ほとんどのコードレビューツールは自然言語テキスト内のゼロ幅文字を表示しません。

シナリオ3：MCP設定ファイルへの毒入れ

ゼロ幅文字はMCP設定ファイルにも現れます。攻撃者はブログ記事やフォーラムから「サンプル設定」をコピーするようにユーザーを誘導します。設定は正しく見えますが、隠された命令によりすべてのスキルスキャン結果が偽陰性（安全と表示されるが実際は脅威あり）を返すようになります。

ゼロ幅文字攻撃の検出方法

方法1：SkillsSafe検出ツール（推奨）

skillssafe.com/ja/zero-width-detectorにアクセスしてスキルの内容を貼り付けます。ツールは以下を実行します：

• すべてのゼロ幅文字を即座に識別
• テキスト内の正確な位置を表示
• デコードされた隠しコンテンツを表示
• 疑わしい文字クラスターをハイライト

インストール不要。無料、登録不要。

方法2：コマンドライン

# ファイル内のゼロ幅文字を確認
cat -v SKILL.md | grep -P '[\x{200B}-\x{200F}\x{FEFF}\x{2060}-\x{2064}]'

# 出現回数をカウント
python3 -c "
import sys
text = open('SKILL.md').read()
zwc = [c for c in text if ord(c) in [0x200B,0x200C,0x200D,0xFEFF,0x2060]]
print(f'{len(zwc)}個のゼロ幅文字が見つかりました')
"

方法3：SkillsSafeフルスキャナー

skillssafe.comでスキルをフルスキャンして、ゼロ幅文字とその他すべての脅威カテゴリ（認証情報の窃取、データ流出、シェルインジェクションなど）を1回のスキャンで検出します。

curl -X POST https://skillssafe.com/api/v1/scan/url \
  -H "Content-Type: application/json" \
  -d '{"url": "https://clawhub.ai/skills/my-skill/SKILL.md"}'

レスポンスにはzero_widthの検出カテゴリが含まれ、文字の位置とデコードされたコンテンツが提供されます。

この攻撃がAIにとって特に危険な理由

従来のソフトウェアはゼロ幅文字を無視します——プログラムロジックに影響しないからです。しかしAI言語モデルは異なります：

1. LLMはすべてのUnicodeトークンを処理する — ゼロ幅文字はモデルが読み取り行動する有効なトークンです
2. コンテキストウィンドウへの毒入れ — 隠しテキストがモデルのコンテキストの一部となり、以降のすべての推論に影響します
3. 可視の監査証跡がない — シェルインジェクションやSQLインジェクションと異なり、何も見えません
4. ほとんどのセキュリティツールを回避する — コード向けの静的解析ツールは自然言語テキスト内のUnicode操作をフラグしません

防御策

スキル利用者向け

1. インストール前に必ずスキャン — あらゆるソースのスキルにSkillsSafeを使用する
2. 完全に検証できないスキルコンテンツにはゼロ幅文字検出ツールを使用する
3. git diffを慎重に確認 — git diff --word-diffを使い、コミットの差分に疑わしいUnicodeがないか確認する
4. 公開されたセキュリティ監査履歴がある信頼できる発行者のスキルを優先する

スキル開発者向け

1. テキストを正規化 — 公開前にすべてのsystem_promptコンテンツからゼロ幅文字を削除する
2. CIチェックを追加する：

python3 -c "
import sys, re
text = open('SKILL.md').read()
if re.search(r'[\u200b-\u200f\ufeff\u2060-\u2064]', text):
    print('ERROR: SKILL.mdにゼロ幅文字が検出されました')
    sys.exit(1)
print('OK: ゼロ幅文字は見つかりませんでした')
"

1. リリースに署名する — gitタグにGPG署名を使用し、スキルが改ざんされていないことをユーザーが検証できるようにする

より大きな視点：攻撃面としてのUnicode

ゼロ幅文字はUnicodeベースの攻撃の一カテゴリに過ぎません。同じ原理が以下にも適用されます：

• ホモグリフ攻撃 — ラテン文字を視覚的に同一のキリル文字やギリシャ文字に置き換える（例：「а」U+0430を「a」U+0061の代わりに使用）
• 双方向テキスト攻撃 — RTLオーバーライド文字を使用してコードレビューUIでテキストを視覚的に反転させる
• タグ文字 — U+E0000ブロック文字（より高度なエンコードスキームで使用されることがある）

AIエージェントがより多くの能力（ファイルアクセス、ネットワークアクセス、コード実行）を獲得するにつれて、隠れたUnicodeによるプロンプトインジェクションの成功がもたらす影響も相応に大きくなります。

まとめ

ゼロ幅文字攻撃は：

• 標準的なツールを使う人間のレビュアーには完全に不可視
• 現在のAI言語モデルに対して実際に有効
• 展開が極めて容易 — Unicodeに対応したテキストエディタならどれでも挿入できる
• SkillsSafeを含む適切なツールで検出可能

AIエージェントスキルをインストールする前に、ゼロ幅文字検出ツールでスキャンしてください。スキャンは10秒もかかりません。完全な認証情報の漏洩を防げるかもしれません。

SkillsSafeが公開——無料のAIエージェントスキルセキュリティスキャナー。OpenClaw、Claude Code、Cursor、Codexに対応。