AIセキュリティの分野で大きな前進となる発見として、Googleの研究者たちはAIエージェントシステムの根本的な脆弱性パターンを特定した。
2025年6月15日、Googleのセキュリティチームはサンティアゴ・ディアス氏、クリストフ・カーン氏、カラ・オリーブ氏による論文「GoogleのAIエージェントセキュリティへのアプローチの紹介」を発表した。この論文では、Googleが目指すAIエージェントのセキュリティフレームワークが示されている。ここでAIエージェントは「環境を認識し、意思決定を行い、ユーザーが定めた目標を達成するために自律的に行動するAIシステム」と定義されている。
本研究では、主に2つのセキュリティ上の懸念点が強調されている。1つは「不正な行動」(意図しない、有害な、またはポリシー違反の振る舞い)、もう1つは「機密データの漏洩」(プライベート情報の不正な開示)である。これらのリスクに対応するため、Googleは従来型のセキュリティ制御と動的かつ推論ベースの防御を組み合わせたハイブリッドな多層防御戦略を提唱している。
さらに、2025年6月16日に発表された関連論文では、AIエージェントにおける「致命的な三重奏(lethal trifecta)」という概念が紹介された。これは「プライベートデータへのアクセス」「不審なコンテンツへの曝露」「外部との通信能力」という3つの機能が組み合わさることで、深刻なセキュリティ脆弱性が生じるというものだ。これら3要素がAIシステム内で同時に存在すると、攻撃者はエージェントを騙して機密情報にアクセスさせ、それを外部に流出させる可能性がある。
数年前に「プロンプトインジェクション」という用語を提唱したセキュリティ研究者のサイモン・ウィリソン氏も、この脆弱性パターンの理解の重要性を強調している。「もしエージェントがこの3つの機能を兼ね備えていれば、攻撃者は簡単にプライベートデータへアクセスし、それを攻撃者に送信させることができる」と、ウィリソン氏はGoogleの研究分析で指摘している。
この研究のタイミングは、AIエージェントがより自律性を高め、機密性の高いシステムへのアクセスを拡大している現状において特に重要だ。過去2年間、Microsoft、Google、Anthropicなどの大手テック企業は、ChatGPT、Microsoft Copilot、Google Bardといったシステムで数十件に及ぶデータ流出攻撃が確認されるなど、同様のセキュリティ問題に直面してきた。
Googleの研究では、エージェントセキュリティのための3つの基本原則が提案されている。すなわち、「エージェントには明確な人間の管理者が必要」「エージェントの権限は慎重に制限されるべき」「エージェントの行動と計画は観察可能でなければならない」というものだ。これらの指針は、より自律的なAIの複雑なセキュリティ環境を乗り越えようとする開発者や組織にとって、AIエージェントシステム導入時の有益なフレームワークとなるだろう。