Invisible Text Injection(ITI)は、論文PDFや原稿ファイルの人間には見えにくい場所に命令文(例:白地に白文字、極小文字など)を埋め込み、LLM(生成AI)が原稿をテキストとして取り込む際にその命令まで読ませて、査読コメントや採否推奨を採択寄りに誘導できてしまう問題です。ITIは、LLMが「指示」と「ただの本文」を本質的に分離できないことを突いています。
医療領域での一次研究として、JAMA Network Openに掲載された検証では、商用LLMに模擬査読をさせた際に、ITIがあるだけで評価スコアが一気に満点側へ跳ねたり、採択推奨がほぼ100%に近い水準まで増えたり、欠陥(科学的フロー)の検出率が下がることが報告されました。つまり内容がダメでも、AI査読の出力だけは採択推しにできる可能性が、医療論文でも実験的に示された形です。
ただし重要な前提として、多くの学術誌は(守秘義務や品質の観点から)査読への生成AI利用を禁じたり制限したりしており、現実の採否判断は編集者・人間査読者が担います。にもかかわらず、実態としてはAIを査読に使う研究者が一定数いることが各種調査で示されており、ITIは「ルール違反のAI査読」を前提としつつ、その現実に付け込む研究公正・出版倫理の問題として浮上しています。
導入と概要:ITI(見えない命令文)でLLM査読が誘導される仕組み
ITIを理解する鍵は、LLMが「文書内テキスト=すべてコンテキスト」として処理しがちな点にあります。PDFやWordは、人間が見ている見た目のレイヤーと、抽出可能なテキストデータがズレることがあります。そこで、見た目では判別しにくい指示文を忍ばせると、LLMがその指示を追加ルールと誤認し、ユーザー(査読者)が与えたプロンプトよりも、文書内の命令を優先してしまうことがあります。
この現象は、セキュリティ分野では「プロンプトインジェクション(Prompt Injection)」の一種として整理されます。とくに、攻撃者がシステムに直接プロンプトを入力できなくても、システムが取り込む外部コンテンツ(文書、Web、メール等)に命令を埋め込むタイプは「間接(インダイレクト)プロンプトインジェクション」と呼ばれます。英国のNational Cyber Security Centre(NCSC)が公開した解説PDFは、LLMの内部では「指示」と「データ」の境界が堅く存在せず、SQLインジェクションのように完全に塞ぎ切る発想は危険だ、という整理を示しています。
また、OWASPが公開する「LLMアプリのTop 10」でも、Prompt Injectionが最上位のリスクとして挙げられています。これは、ITIが学術出版だけの特殊問題ではなく、LLMを何かの意思決定に組み込むあらゆる領域で再現し得る構造的リスクだ、という位置づけを裏付けます。
ここでの注意点です。この記事は、ITIの悪用を推奨するものではありません。むしろ「なぜ危険か」「どう抑え込むか」を、一次情報を中心に整理することを目的にしています。
世界の現状:JAMA Network Openの検証、利用実態、国際ルールのズレ
医療領域でITIがどれだけ効くのかを、査読タスクとして系統的に扱った点で注目度が高いのが、JAMA Network Open掲載の研究レター(品質改善研究)です。
この研究では、Anthropic、Google、OpenAIの商用LLM(計3種)に対し、同一の元原稿から作った複数バージョン(欠陥なし/Methods欠陥/Results欠陥/Discussion欠陥)を模擬査読させています。プロンプトは「中立(ニュートラル)」と「厳格(より批判的に)」の2戦略で比較し、ITIの有無を掛け合わせた設計です。主要評価は(1〜5の)品質スコアと、(とくに中立プロンプト下での)採択推奨率で、欠陥検出率も評価しています。
結果の骨子は3点です。
- 中立プロンプト下では、ITIの投入だけで平均スコアが満点近傍まで膨らむモデルがあり、全モデルで有意なスコア上昇が起きています。
- 採択推奨は0%から、ほぼ100%近い水準へ跳ね上がると報告されており、少なくとも採否推奨の出力は大きく誘導され得ます。
- 欠陥検出でも悪影響が見られ、全欠陥を検出できた割合(厳格基準)が大きく下がるなど、品質管理としての査読らしさが損なわれています。
さらに重要なのは、「厳格に批判せよ」というプロンプト戦略が防御になりにくいことです。研究では、厳格プロンプトでも一部モデルで採択推奨が100%に到達するなど、プロンプト改善だけでは守り切れない可能性が示唆されています(モデルによって挙動差はあります)。
この研究は実際の投稿論文・実際の編集プロセスではなく、模擬原稿と模擬査読での評価です。そのため現実の編集判断がそのまま乗っ取られると断定はできません。一方で、LLM出力が編集者や人間査読者の判断に影響する場面(下読み、要約、論点抽出、初期スクリーニング等)が増えるほど、同種の誘導が意思決定支援の汚染として問題化しやすくなります。
次に世界の利用実態です。公開調査では、研究者の相当割合が査読でAIツールを使った経験を報告しています。たとえばFrontiersによる約1600人・111か国の調査を引用したNature記事は、査読でAIを使ったことがある研究者が50%超という結果を伝えています。 物理科学系コミュニティを対象にしたIOP Publishingの調査でも、査読支援にAIを使ったと自己申告する回答が一定割合あります。
つまり、建前としては禁止・制限が増えていても、実際には使われているギャップが存在します。ここにITIの攻撃面が成立します。
このギャップを埋めるため、出版社・学術誌・国際団体はルール整備を進めています。医学系の国際指針であるInternational Committee of Medical Journal Editors(ICMJE)は、査読者がAIを使う場合は雑誌ポリシーに従うか事前許可を得ること、守秘義務の観点から原稿のアップロードが禁じられ得ること、使用した場合は開示し内容の妥当性に責任を持つこと、などの方向性を示しています。
同様に、World Association of Medical Editors(WAME)も、編集者・査読者がチャットボットを使う場合の説明責任や、原稿内容を入力することが守秘義務違反になり得る点を明確にしています。
また、医療系トップジャーナル100誌のAI査読ポリシーを調べたJAMA Network Open掲載研究(2024年)は、78%の雑誌がAI利用ガイダンスを提示し、そのうち59%がAI利用を明示的に禁止、91%が原稿関連コンテンツのAIへのアップロード禁止を含んでいた、と報告しています。 ただし、一定割合の雑誌は守秘と権利を守れる範囲なら限定利用可としており、運用と開示の設計にはばらつきがあります。
個社ポリシーの例を挙げると、Springer Natureは、査読者・編集者に対し原稿を生成AIツールへアップロードしないことや、AI支援を使った場合の透明な開示などを明示しています。 SAGE Publicationsは、査読レポート生成にChatGPT等を不適切に用いる査読者への措置や、編集判断文の生成AI利用禁止などを掲げています。 Elsevierも、透明性(開示)を重視した方針を更新し続ける姿勢を示しています。 Wileyは、査読に関して「限定的用途以外では原稿をAIにアップロードしない」「査読の責任は人間にあり、AIへの丸投げは不可」といった原則を明文化しています。
さらに、研究助成の審査(ピアレビュー)でも同種の守秘リスクが問題化しています。National Institutes of Healthは、助成審査での生成AI利用を明確に禁止し、オンライン生成AIへの内容共有は守秘・公正性に反するという整理を示しています。 National Science Foundationも、レビュアーが提案書等を未承認の生成AIへアップロードすることを禁じ、こうした共有は守秘義務違反になり得ると述べています。
これらは医療論文の査読だけでなく、審査・評価全般に同じ構造があることを示します。
最後に学術界での実際の隠し命令事例です。2025年には、プレプリントサーバーarXiv上の原稿に、AI査読者を想定した隠し命令が埋め込まれていたという報道が相次ぎました(多くは正式な査読前の原稿)。 この出来事を研究不正として分析する論考(arXiv)も出ており、白文字等で隠す形で肯定的な査読だけを出せといった誘導命令が仕込まれていたこと、ポリシー不統一が混乱を招くこと、投稿システム側の技術的スクリーニングが必要なこと、などが論点として整理されています。
日本の現状:研究公正ガイドラインと査読不適切行為の位置づけ
日本では、研究不正対応の枠組みとして文部科学省が「研究活動における不正行為への対応等に関するガイドライン」を定め、研究機関に体制整備等を求めています。 加えて、ガイドラインに基づく取組状況を確認するチェックリスト提出など、制度運用の定着を図る動きも継続しています。
そして、ITIの文脈で重要なのが査読における不適切な行為です。文科省は2023年11月に「査読における不適切な行為の防止」について通知を出し、特定不正行為(捏造・改ざん・盗用)以外にも、二重投稿、不適切オーサーシップ、査読における不適切行為などが研究者倫理に反すること、学協会や学術誌の規程等で具体像を明確化することが望ましいこと、などを示しています。
同通知には、日本学術会議の回答(論文査読に関する審議)も添付され、査読の意義や、想定される不適切行為の例(なりすまし、査読偽装、情報漏洩、盗用など)を含む整理が提示されています。
ここからがITIをどう位置づけるかです。文科省通知や回答の例示には、現時点で「生成AI向けの隠し命令(ITI)」という語は出てきません(少なくとも当該文書の要旨部分では確認できません)。
しかし、もし採択誘導を目的に論文内へ隠し命令を仕込み、AI査読に依存する査読者・編集プロセスを意図的に誤作動させるなら、それは査読プロセスの公正さを損ねる行為として、査読における不適切な行為に準じて扱われ得る—という解釈は十分に成り立ちます。ここは一次資料に明記された結論ではなく推測なので、断定は避けます。
事例面では、2025年にプレプリントにAI向けの隠し命令が埋め込まれていたとする報道で、日本を含む複数国の大学・研究機関が関わった原稿が取り上げられています。 また、セキュリティ専門家Bruce Schneierのブログは、日経報道を引用する形で、早稲田大学など具体の機関名にも触れています(※原典の一次確認は当記事ではできていません)。
この段階で言える確実なことは、日本に無関係とは言い切れない形で国際的に話題化したこと、そして正式査読前の段階でも隠し命令が混入し得ることです。
法制度についても触れておきます。ITIを直接名指しした日本の特別法・行政ガイダンスは、少なくともここで参照した一次資料からは確認できません。 一方で、研究不正・査読不正は「研究機関の規程」「学協会の倫理規程」「学術誌の投稿規程・査読規程」で対応され、処分や公表、投稿禁止などにつながり得ます。この点は、文科省通知が学協会や学術誌の規程で明確化が望ましいと述べている流れと整合します。
経済・社会への影響:医療研究の信頼、コスト、そして患者安全
医療論文の査読は、研究コミュニティ内部の品質管理であるだけでなく、最終的には臨床意思決定やガイドライン、医療政策、患者の安全に波及し得るプロセスです。そのため、査読の補助としてでもLLMが使われ、しかもそれがITIで誘導されるなら、影響は学術界に留まりません。
経済面の影響は、主に3つ考えられます。
- 粗悪な研究が通りやすくなると、追試・再解析・訂正・撤回対応などの是正コストが増えます。医療研究は研究費規模も大きく、下流(臨床研究、実装)に進むほど損失が膨らみます。これはITI単独の帰結というより、「AI出力への過度な依存(overreliance)」がもたらすコストとして理解すべきです。
- 出版社・査読システム側で、文書スクリーニングやログ監査、規程整備、教育、問い合わせ対応が必要になり、運用コストが上がります。実際、各出版社はAI利用の禁止や開示、査読者への規律強化など追加の統治コストをポリシー化しつつあります。
- 研究コミュニティ全体の相互信頼が毀損すると、査読への協力がさらに得にくくなり、いわゆる査読者不足・査読疲れを悪化させる恐れがあります。JAMA Network Openの医療誌調査は、投稿増やプレプリント拡大が査読プロセスを圧迫している問題意識を背景にしています。
社会的影響としては、不正が高度化するほど、人間の目視だけでは追いつかないという不安が強まり、研究成果への信頼が揺らぎます。これは医療情報に限らず、AIが原稿作成・査読・検知を相互に自動化していく局面で、どこが人間の責任範囲なのかが曖昧になりやすい、という構造問題でもあります。
一方で、LLMが研究プロセスに有用性を持つことも否定できません。たとえば研究論文へのフィードバック(査読とは異なるが、原稿改善支援)での有用性を示す研究もあります。結論として必要なのは、便利さを理由にLLMを査読の意思決定装置にすることではなく、用途と権限を絞り、人間の責任・監督を前提に設計することです。
今後の課題と展望:技術対策、運用対策、そしてQ&A
課題は大きく「技術」と「運用・規範」に分かれます。NCSCの整理に沿うと、LLMは本質的に「混同しやすい代理人(confusable deputy)」であり、プロンプト改善やブラックリスト的対策だけで完封する思想は危険です。残余リスクを前提に、影響を小さくする設計を軸に据えるべきだ、というのが現実的な方向性です。
技術対策の方向性としては、次が現実的です。
- 投稿システムでの自動検査
PDF/Word/HTMLなどの「抽出テキスト」と「見た目」を突き合わせ、隠しテキストの混入を検知する。隠しプロンプト検知を目的にした研究(例:PhantomLint)は、PDFやHTMLを含む多数文書での検知を評価しています。 - 入力のサニタイズ
LLMに渡す前に、不可視文字・極小文字・メタデータ的テキストなどを除去し、LLMへ渡す入力面を縮める。ただし完全には塞げない前提が必要です。 - 権限分離(最小権限)
LLM出力を採否判断に直結させない。LLMが扱う対象(外部者から来た文書など)では権限を落とす、という設計思想が提示されています。
運用・規範の対策としては、次が重要です。
- 査読者のAI利用ポリシーの明文化と教育
ICMJEやWAMEのように、守秘義務と開示、責任所在を明確にする。 - 開示の実効性
開示欄があっても、使われない/申告が過小になる可能性があるため、監査可能性(ログ、ランダムチェック)を含めて設計する必要があります。ここは実務上まだ課題が大きく、今後の研究領域です。 - AI査読の丸投げを誘発する構造の是正
査読負担、締切、評価制度などが省力化の誘惑を生むため、制度面の手当ても並行して必要です。
ここからは、検索でよく出る疑問をQ&Aで先回りします。
Q:ITIは、医療誌の査読を本当に乗っ取れるのですか?
A:JAMA Network Openの検証は、模擬環境のLLM査読で採択推奨やスコアが大きく誘導され得ることを示しました。 ただし現実の採否は通常、人間の編集者が決めます。したがって完全に乗っ取れるとは言えません。一方で、LLM出力が参考資料として使われるほど、間接的に意思決定が汚染されるリスクは上がります。
Q:生成AIで査読するのは、もう禁止が世界標準ですか?
A:一枚岩ではありません。医学領域では、守秘義務を理由に原稿を外部AIへアップロード禁止を明確化する動きが強いです。 ただし、限定的な利用(文章表現の改善支援など)を認めるポリシーもあり、出版社・雑誌ごとに差があります。
Q:なぜ白文字のような小技が効いてしまうのですか?
A:LLMにとっては入力されたテキスト列がすべて同じ重みを持ちやすく、そこに含まれる命令が指示として解釈され得るからです。NCSCは、LLM内部には指示とデータの堅い境界がないことを明確に述べています。
Q:編集部や投稿システム側で、ITIは検知できますか?
A:一定程度は可能です。隠しプロンプト検知の研究(PhantomLintなど)は、構造化文書中の隠し命令を検出する方向性を示しています。 ただし、NCSCの整理では、完全防御ではなく成功率・影響の低減に主眼を置くべきです。
Q:日本では、ITIは研究不正として裁けますか?
A:一次資料上、「ITI」を名指しした国内法や行政指針はここでは確認できません。 ただし、文科省は「査読における不適切行為」を研究者倫理に反する行為として扱い、学協会や学術誌の規程で具体化することを望ましいとしています。 その枠組みの中で、ITIが査読プロセスを意図的に歪める行為として問題化する可能性はあります(ここは推測で、断定ではありません)。
結論と読者への提案:読者が説明できる状態になるための要点
Invisible Text Injection(ITI)は、AIが文章を読むという特性を逆手に取り、論文本文の中に人間には見えにくい命令を混ぜてLLM出力を誘導する、プロンプトインジェクションの文書版です。医療領域でも、JAMA Network Openの検証で、スコアの満点化、採択推奨の急増、欠陥検出率の低下が示され、AI査読が品質担保装置として脆弱であることが具体的に示されました。
また、世界の出版界は「AI査読は原則禁止/限定許可+開示」「原稿アップロード禁止」を中心に、守秘と責任を軸にしたルール整備を進めています。 それでも、査読でAIを使った経験を持つ研究者が相当数いるという調査もあり、建前と現実のギャップが残ります。ここを塞がない限り、ITIの攻撃は成立してしまいます。
読者への提案を、立場別にまとめます(行動指針としての最小セットです)。
研究者・著者の方へ:見えない命令を仕込むのは「対抗策」ではなく、「研究公正を崩す行為」になり得ます。査読者がAIを使うこと自体が禁じられている場合でも、隠し命令は投稿システムや他の自動処理(要約、索引、検索)を汚染しかねません。
査読者の方へ:雑誌ポリシーを確認し、許可なく原稿を生成AIへアップロードしないことが基本です。もし許される限定利用がある場合でも、開示・責任・守秘の原則を守り、AI出力をそのまま提出しない(自分の判断で検証し直す)ことが必要です。
編集部・学協会・出版社の方へ:プロンプト対策は「禁止の宣言」だけでは足りず、文書検査(隠しテキスト検知)と、LLMが関与しても採否判断が汚染されない業務設計(最小権限、人間の最終責任)が鍵になります。
参考
- Byungjin Choi ほか(2026)「Invisible Text Injection and Peer Review by AI Models」JAMA Network Open(Research Letter)DOI: 10.1001/jamanetworkopen.2025.52099
- Tiffany I. Leung(2026)「LLMs in Peer Review—How Publishing Policies Must Advance」JAMA Network Open(Invited Commentary)
- Ziqi Li ほか(2024)「Use of Artificial Intelligence in Peer Review Among Top 100 Medical Journals」JAMA Network Open DOI: 10.1001/jamanetworkopen.2024.48609
- International Committee of Medical Journal Editors(随時更新)「Use of AI by Authors/Use of AI by Reviewers」
- World Association of Medical Editors(2023)「Chatbots, Generative AI, and Scholarly Manuscripts」
- OWASP(version 1.1)「OWASP Top 10 for Large Language Model Applications(LLM01: Prompt Injection)」
- National Cyber Security Centre/David C(2025)「Prompt injection is not SQL injection (it may be worse)」NCSC(PDF)
- National Institutes of Health(2023)「NOT-OD-23-149: The Use of Generative AI Technologies is Prohibited for the NIH Peer Review Process」
- National Science Foundation(2023)「Notice to research community: Use of generative AI technology in the NSF merit review process」
- Springer Nature(随時更新)「AI for our communities(Guidance for editors and peer reviewers など)」
- SAGE Publications(随時更新)「Artificial intelligence policy」
- Elsevier(随時更新)「Generative AI policies for journals」
- Wiley(随時更新)「Best Practice Guidelines on Publishing Ethics(AIとPeer Review)」
- Frontiers調査を引用したNature記事(2025-12-15)「More than half of researchers now use AI for peer review — often against guidance」DOI: 10.1038/d41586-025-04066-5
- IOP Publishing(2025)「AI and Peer Review 2025: Insights from the global reviewer community – results」
- 文部科学省(2014)「研究活動における不正行為への対応等に関するガイドライン」
- 文部科学省(2025-03-28)「取組状況に係るチェックリスト(令和7年度版)の提出について」
- 文部科学省(2023-11-14)「査読における不適切な行為の防止について(通知)」
- 日本学術会議(2023-09-25回答、文科省通知別添)「論文の査読に関する審議について(回答)要旨抜粋」
- Josh Taylor(2025)「Scientists reportedly hiding AI text prompts in academic papers to receive positive peer reviews」The Guardian
- Zhiwei Lin ほか(2025)「Hidden Prompts in Manuscripts Exploit AI-Assisted Peer Review」arXiv:2507.06185
- Janis Keuper(2025)「Prompt Injection Attacks on LLM Generated Reviews of Scientific Publications」OpenReview(ICLR 2026 Withdrawn)
- Panagiotis Theocharopoulos ほか(2025)「Multilingual Hidden Prompt Injection Attacks on LLM-Based Academic Reviewing」arXiv:2512.23684
- Toby Murray(2025)「PhantomLint: Principled Detection of Hidden LLM Prompts in Structured Documents」arXiv:2508.17884
コメント