過去20年間、サイバーセキュリティは主に、マルウェアをブロックするマシンから人間を保護し、フィッシングメールをフィルタリングし、企業がDDoS攻撃を軽減し、攻撃者が悪用する前にソフトウェア脆弱性にパッチを適用することについての話でした。敵対者は明確でした。対象領域は既知でした。プレイブックは完璧ではありませんでしたが、少なくとも読むことはできましたが、その話は今変わっています。
サイバーセキュリティの次の大きなフロンティアはAIから防御することではありません。それをどのように信頼するかを理解することです。
エージェントはすでに建物の中にいます
自律型AIエージェントは今日、受信トレイを読み取り、コードを実行し、資金を転送し、契約に署名し、以前の時代では人間の署名が必要だったであろう決定を下すために展開されています。エージェント経済は地平線にはありません。それはすでにあなたの境界内で動作しています。
採用のスピードは理解できますし、生産性のケースは説得力があります。単一のAIエージェントは、アナリストの数週間の作業を数時間に短縮できます。しかし、ここに最もの組織がまだ尋ねていない質問があります:AIエージェントがあなたに代わってアクションを実行するときに、あなたは実際にそれが主張している者であることをどのように知るのでしょうか?
平然と隠されている信頼の問題
従来のネットワークセキュリティでは、アイデンティティは基本であり、ゼロトラストアーキテクチャはネットワーク内の存在が正当性の証拠ではないことを学んだから存在します。私たちはユーザーを認証し、デバイスを検証し、最小権限アクセス制御を適用し、すべてをログに記録し、監査します。そのインフラストラクチャのどれもがAIエージェントを念頭に置いて構築されていません。
今日、自律型AIエージェントがAPI、データベース、金融システム、または別のエージェントへのリクエストを開始するとき、受信側は通常、そのアイデンティティを検証し、それが何をする権限があるかを確認し、その指示が改ざんされていないかをチェックし、リアルタイムでそのアクセスを取り消すための信頼できるメカニズムを持っていません。エージェントは見知らぬ者として到着し、ほとんどのシステムはそれを単に入れます。
これは理論的な脆弱性ではありません。これはエージェント展開がスケールするたびに拡大している体系的なギャップです。そしてこれは、悪意のある脅威行為者が歴史的に悪用することに非常に得意である種類のギャップです。
検証が見た目より難しい理由
AIエージェントを検証する課題は、単に認証の層を追加することについてではありません。それはいくつかの理由で、人間や従来のソフトウェアを検証することとは構造的に異なっています。
第一に、エージェントは動的です。固定された一連の動作を持つ静的なアプリケーションとは異なり、AIエージェントの機能とアクションは、コンテキスト、指示、およびそれらに電力を供給するモデルに基づいて変わることができます。エージェントが展開時に「安全」であることを検証することは、1時間後に何をする可能性があるかについてあなたにほとんど何も教えてくれません。
第二に、エージェントはチェーンで動作します。最新のAIワークフローには、1つのエージェントがタスクを別のエージェントに委任するマルチエージェントパイプラインが含まれており、それがさらに別のエージェントに委任します。各ハンドオフは、スプーフィング、注入、またはスコープ拡大の可能性のあるポイントです。チェーン内の最初のエージェントを検証することは、ダウンストリームに渡すものを検証できない場合は十分ではありません。
第三に、エージェントは組織の境界を越えて相互作用します。あなたの会社に代わって動作しているAIエージェントは、ベンダー、顧客、またはクラウドインフラストラクチャプロバイダーによって制御されているエージェントと通信しているかもしれません。クロスオーガニゼーションのエージェント相互作用のための共有信頼フレームワークはまだありません。
第四に、攻撃対象領域には指示自体が含まれます。外部データに埋め込まれた悪意のあるコンテンツがエージェントの動作をハイジャックするプロンプト注入攻撃は、すでに現実で使用されています。検証はエージェント自身の問題ではありません。それはエージェントが何をするかを指示されたことが改ざんされているかどうかについてです。
業界は行動を始めています
このギャップに対処するために設計されたフレームワークとプログラムの出現は、セキュリティコミュニティが何が危機に瀕しているかを理解していることを示しています。
Anthropicのサイバーセキュリティverificationプログラム(CVP)は、業界が進むべき場所の初期段階を示すものです。Claudeのインフラストラクチャで働く正当なサイバーセキュリティオペレーターを検証するためのフレームワークを確立することにより、デュアルユース機能と攻撃的セキュリティ研究を含めて、Anthropicは重要なことを認めています:AI時代のセキュリティは受動的な仮定ではなく、積極的な検証が必要です。
Lyrie.aiはCVPの最初のグループの企業の一部であり、受け入れられました。その企業の初期の焦点は、AIエージェントと自律システム向けのセキュリティツールの構築にあります。同社の包含は、業界全体で成長する見解も反映しています:AIシステムを保護することは、より古いセキュリティモデルを適応させるのではなく、最新のAIが実際にどのように動作するかのために構築されたプラットフォームが必要です。
しかし、CVPは始まりであり、目的地ではありません。業界が必要としているのは、個々のオペレーターのための検証プログラムだけではありません。それはエージェント検証をエコシステム全体で一流のプリミティブにするオープンで相互運用可能な標準を必要とします。
標準はどのようなものになるか
AIエージェント検証のための暗号標準は、最低でも5つの質問に対処する必要があります:このエージェントは誰ですか?何をする権限がありますか?それまたはその指示が改ざんされていますか?誰が権限を委任し、どのチェーンを通じて?そして、何か問題が発生した場合、リアルタイムでその権限を取り消すことができますか?
これらはセキュリティに関する新しい概念ではありません。それらはコード署名、認証局、アイデンティティフェデレーションのために私たちが行うことと密接にマッピングされます。課題は、AIエージェント、それらのダイナミズム、それらの委任パターン、および指示操作への感受性の特定のプロパティに適応させることです。
Lyrieの研究チームは、これらのプリミティブに正確に対処するオープンな暗号標準であるAgent Trust Protocol(ATP)を公開しました。それはロイヤリティフリーであり、インターネットエンジニアリングタスクフォース(IETF)による考慮のために提出されています。
ATPまたは競合する提案のどちらが最終的に標準になるかは、より広いポイントより少なく重要です:標準についての会話は、展開曲線が改造を禁止的に困難にする前に今起こる必要があります。
インターネットの歴史は警告物語を提供します。電子メールは認証なしで構築されました。数十年後、私たちはまだスパム、フィッシング、スプーフィングと大規模に戦っています。なぜなら、信頼は事後対応でした。AIエージェントと同じ間違いを犯すことはできません。
セキュリティチームが今日尋ねるべきこと
すでに自律型AIエージェントをデプロイしているか、デプロイを計画している組織は、自分自身とベンダーに難しい質問をするべきです:
エージェントアイデンティティはどのように確立され、維持されますか?エージェント動作を管理するアクセス制御は何ですか、そしてそれらはリアルタイムで構成時だけでなく強制されますか?マルチエージェント委任チェーンはどのように監査されますか?エージェントが予期しない動作をする場合はどうなりますか、そして権限をどのくらい迅速に取り消すことができますか?あなたのエージェントが動作するAIインフラストラクチャは独立したセキュリティ検証の対象ですか?
答えが曖昧である場合、それは未成熟なベンダーの兆候ではありません。それは正しい質問がちょうど主流になっていることの兆候かもしれません。これより先に達成する組織は、セキュリティ態勢だけでなく、顧客、パートナー、規制当局がAIシステムに置く信頼において大きな利点を得るでしょう。
検証層は次の戦場です
サイバーセキュリティは常に新しい脅威に対応するために進化してきました。クラウド時代は新世代のアイデンティティとアクセス管理を生み出しました。モバイル時代はエンドポイント管理とゼロトラスト機能を生み出しました。IoT時代は正直なところ、標準と検証が遅すぎたためにほぼ混乱です。
AIエージェントは数多くのテクノロジーが一致したペースで採用されています。企業は生産性の利益が実際のため、それらをデプロイするために急いでいますが、攻撃者はすでにこれらのシステムの弱点を悪用する方法を探しています。
次に来るものは無視することがより難しくなっています。AIエージェント向けの検証とアイデンティティチェックは、エンタープライズセキュリティの標準部分になると予想されています。より大きな懸念は、主な事件が問題を強制する前に、業界が適切な標準と保全措置をもたらすことができるかどうかです。
今のところ、オンラインで相互作用するほとんどのAIエージェントは、信頼できるアイデンティティフレームワークなしで動作します。それはビジネスに、彼らが誰または何と通信しているかを検証する方法を限定します。そのギャップを修正することは、業界が解決する必要がある次の主要なセキュリティ問題の1つになっています。
翻訳元: https://hackread.com/next-cybersecurity-challenge-verifying-ai-agents/
