OWASPは、自律型AIエージェントとそれが依存するツールエコシステムを防御するための具体的なプレイブックをセキュリティチームに提供するAIセキュリティレポートの新版「State of Agentic AI Security and Governance v2.01」を公開しました。
OWASP GenAIセキュリティプロジェクトの一環として位置づけられているこのレポートは、AIセキュリティに関する議論を仮説的な脅威モデルから証拠に基づくガイダンスへと転換するものです。実際のインシデントデータ、エージェンティックアプリケーション向けのトップ10リスク分類、そして実務者向けの防御ツールやトレーニングリソースの拡充されたカタログによって裏付けられています。
OWASPエージェンティックAIトップ10リスク(2026年版)
| ID | リスク名 | 概要 |
|---|---|---|
| ASI01 | Agent Goal Hijack | 攻撃者が悪意のあるコンテンツやプロンプトを通じて、エージェントの目標や計画を乗っ取ります。 |
| ASI02 | Tool Misuse and Exploitation | エージェントが接続されたツールやAPIを安全でない方法で呼び出し、攻撃者の入力を増幅させます。 |
| ASI03 | Identity and Privilege Abuse | エージェントが認証情報を継承・悪用・昇格させ、より高い権限を持つリソースにアクセスします。 |
| ASI04 | Agentic Supply Chain Vulnerabilities | 侵害されたツール、プラグイン、MCPサーバー、または外部コンポーネントがエージェントのワークフローを汚染します。 |
| ASI05 | Unexpected Code Execution | エージェントがRCE、サンドボックス脱出、またはデータ損失につながるコード・コマンドを生成・実行します。 |
| ASI06 | Memory and Context Poisoning | 攻撃者がエージェントのメモリ、エンベディング、またはRAGストアを汚染して将来の動作を誘導します。 |
| ASI07 | Insecure Inter‑Agent Communication | 認証が弱いまたは未検証のメッセージにより、攻撃者がエージェントのなりすましや改ざんを行います。 |
| ASI08 | Cascading Failures | 小さなエラーや侵害が、マルチエージェントのワークフローや共有ツール全体に伝播します。 |
| ASI09 | Human–Agent Trust Exploitation | エージェントがユーザーの信頼やUXパターンを悪用して、安全でない承認や操作を引き出します。 |
| ASI10 | Rogue Agents | 整合性を欠いた、または侵害されたエージェントが、インサイダー脅威に似た有害な形で自律的に行動します。 |
AIセキュリティレポートの概要
このレポートの核心的なメッセージは、エージェンティックAIはもはや実験的な例外ケースではないということです。OWASPが追跡するほぼすべてのエージェンティックリスクの分類において、本番環境でのインシデント、ベンダーによるアドバイザリ、そしてCVEが実際に存在しています。2025年7月に公開されたv1.0では自律型エージェントを新興の脅威として扱っていましたが、2026年6月にリリースされたv2.01は1年分のフィールドデータを読み解き、それをデプロイアーキテクチャに直接結びつけ、実際のシステムでどこにガードレールが失敗したかを明示しています。
「実世界のインシデントおよびエクスプロイト追跡」では、エンタープライズ向けコパイロットに対するゼロクリックプロンプトインジェクション、コーディングエージェントにおけるサンドボックス脱出、エージェント間プロトコルスプーフィングといった具体的な障害を、エージェンティックセキュリティ向けOWASP Top 10にマッピングし、防御側が検証・エミュレートできる攻撃チェーンを提供しています。
今版での主要な追加点は、エージェンティックシステムの精緻化されたタクソノミーです。このタクソノミーはエージェントを3つの軸で分類します。運用上の役割、実装パターン、そして構成パターンであり、自律性はクロスカッティングな次元として扱われています。
エンタープライズエージェント、コーディングエージェント、クライアント向けアシスタント、パーソナルエージェント、インフラ運用エージェントはそれぞれ、信頼境界、規制上のトリガー、ガバナンス上の課題について個別の扱いを受けています。これは、自律性とツールアクセスが拡大するにつれて影響範囲がどのように変化するかを反映したものです。
実装レイヤーでは、OWASPはフルオーケストレーションフレームワーク、軽量ライブラリの組み合わせ、プラットフォームネイティブのローコードビルダーを区別しており、ローコード環境におけるシャドーAIおよびシチズンデベロッパーのフローが、現在最も可視性が低く、リスクが高いデプロイの一部を占めていると警告しています。
脅威モデリングの観点から、OWASPはデプロイメントレイヤーにおける「AIの安全性」と「AIのセキュリティ」という運用上の区別を明示的に解消しています。権限、ツールサーフェス、監視、ランタイム制御といった同じアーキテクチャ上の選択が、敵対的な悪用と非悪意的な失敗の両方を規定するという立場をとっています。
このレポートでは、プロンプトインジェクション、持続的なメモリ汚染、ツール悪用エクスプロイトが——特に広範な自律性とヒューマンインザループ制御が最小限の状態で動作する場合に——エージェントの本質的な不安定性とどのように交差するかを詳しく説明しています。
セキュリティリーダーにとって、この意味合いは技術的であると同様に組織的でもあります。エージェントがメールの送信、コードの変更、APIの呼び出し、金融取引のトリガーを人間のレビューなしに行える以上、AI安全機能をセキュリティチームから完全に切り離した状態で維持することはもはやできません。
ツールに関するストーリーこそ、多くのセキュリティチームがすぐに価値を見出せる領域です。OWASPはこのレポートをエージェンティックセキュリティイニシアティブ(ASI)の中に位置づけており、ASIは現在、エージェンティックセキュリティ向けTop 10、エージェンティックアプリケーション保護ガイド、そしてAgent Goal Hijack、Tool Misuse Exploitation、エージェンティックサプライチェーン侵害、Memory Context Poisoningなどのリスクを具体的な対策にマッピングするエージェンティックAI脅威・緩和策リファレンスアーキテクチャを提供しています。
補完的なリソースとして、A2A、MCP、ACPなどのプロトコルにわたるエージェントの安全な探索とID検証のためのAgent Name Serviceや、ツールサーバーがエージェント駆動のアクションをどのように認証・認可・制約すべきかを扱う「安全なMCPサーバー開発の実践ガイド」が含まれています。
「エージェンティックAIソリューションランドスケープ」と「AIセキュリティソリューションランドスケープ」は、OWASPのリスクカテゴリをポリシーエンジン、オブザービリティスタック、レッドチーミングプラットフォームなどの商用・オープンソース製品にマッピングする際にチームの役に立ちます。
防御スキルの習得を加速するため、OWASPはFinBotも推進しています。FinBotはレポートで説明されているリスクの多くを実装した、金融をテーマにしたマルチエージェントのCTF(Capture-the-Flag)環境です。
FinBotは、ベンダーのオンボーディング、請求書処理、支払い、不正分析を担う自律型エージェントを提示しており、すべてMCPサーバー経由で実際のツールに接続されています。プレイヤーはプロンプトインジェクション、ツール汚染、間接的なペイロード配信を通じてこれらを悪用することに挑戦します。
各チャレンジは、エージェンティックセキュリティ向けOWASP Top 10、LLMアプリケーション向けOWASP Top 10、MITRE ATLAS、そしてCWEにマッピングされており、理論的なタクソノミーをセキュリティチームが安全に実行できる実践的な攻撃・検知演習へと変換しています。
早期導入段階にある組織に対して、OWASPはFinBotを、本番ワークフローでエージェントに広範な自律性を付与する前に直感を養うための事前デプロイメントトレーニング環境として位置づけています。
最後に、このレポートはエンタープライズ導入成熟度モデルで締めくくられています。このモデルはエージェンティックデプロイメントをシャドーAIから完全に連邦化されたマルチエージェントアーキテクチャまで段階的に追跡し、各ティアでどのASIリスククラスが支配的かをマッピングするとともに、2027年に向けてセキュリティリーダーが計画すべき運用要件を概説しています。
53のオープンソースエージェンティックプロジェクトを追跡し、合計250万以上のスターと200以上の公開セキュリティアドバイザリを調査した上で、OWASPはエージェンティックエコシステムが従来のAppSecおよびコンプライアンスプロセスが快適に管理できる速度を超えて拡大していると警告しています。
防御側にとって、この新レポートは理論的なホワイトペーパーというよりも、具体的なインシデント、タクソノミー、ツール、トレーニング環境、規制マッピングを統合し、本番環境でAIエージェントを保護するための一貫したブループリントへと結びつけた戦略的ロードマップといえます。
翻訳元: https://gbhackers.com/owasp-unveils-ai-security-report/
