技術的に回避するには、XPIA(cross‑prompt injection attack)を防御する分類器(classifier)を導入するのが有効だと思います。
それ以外には、運用面での対応として、エージェントが動作するアカウントの権限を最小限のアクセス範囲にする方法が現実的なような気がします。
導入目的によっては、不便かもしれないですけど、アクセスを社内利用のみ限定にしたり、アクセスできる情報を対象業務の範囲内に限定すれば、この問題は回避できそうですね。
例えば、職場にひとつのエージェントを作って、社内でのメールのやり取りなどを受付担当のように代表して処理してくれるという感じです。
大きな会社の場合は社内連絡のやり取りだけでもかなりの量になるので、それが効率化されるだけでも効果あると思うので有効ですよね。
でも、これからの運用は難しそうですね😅