企業は、計画を立て、記憶し、代理として行動するAIエージェントに、日常的な業務判断を委ねるようになっています。これらのエージェントは統計モデル上で動作するため、その振る舞いは数週間から数か月かけて徐々に変化していきます。この「ドリフト(drift)」こそが、標準的な監視ツールの目が届かないセキュリティ上の空白を生み出しています。

OpenAIとAnthropicにおける約1,080件の公開求人を調査した結果、この2大AI研究機関がこの技術をどこへ向かわせようとしているのかが浮かび上がってきました。各職種は予算配分の判断を反映しているため、求人情報は戦略を映し出す代理指標として機能します。買収動向、リリース時期、コンピューティング契約などを合わせて見ると、両社が異なる方向に進んでいる姿が見えてきます。
OpenAIはより大規模な採用計画を掲げており、公開ポジションは約670件に上ります。採用が集中しているのは、Stargateプログラムを通じた自国主権型コンピューティング、政府機関・防衛分野とのパートナーシップ、Codexのようなエージェント型開発者ツール、そしてシステミックリスクを見据えたトラスト&セーフティ分野です。これは、OpenAIがコンピューティングインフラそのものになろうとしていることを示しています。
一方Anthropicは、AI研究、応用研究、セキュリティの各分野で400件強のポジションを公開しており、行動リスクやCBRN(化学・生物・放射性物質・核)脅威モデリングに重点を置いています。その方向性は、コンプライアンスや監査の要求が厳しい業界向けの「トラストインフラ」の構築です。Zenita GroupのサイバーセキュリティディレクターであるPierguido Iezzi氏は、この違いを「一方は垂直統合、もう一方はトラストインフラの構築」と表現しています。
ただし、求人動向からの分析には限界もあります。両社とも構造化された英語の採用ポータルを比較可能な形式で公開していますが、この比較可能性は両社のデータセットに限られます。「他の主要プレイヤーについて同等の採用データセットを構築したわけではありませんし、各組織が求人情報を公開・構成する方法があまりに異なるため、同じ厳密さで構築できるとは考えていません」とIezzi氏はHelp Net Securityに語りました。
多極化する市場
この2大研究機関は、フロンティア(最先端)の座を多くの競合と分け合っています。現在8〜10の勢力が競争に加わっており、その顔ぶれはサンフランシスコにとどまりません。Google DeepMind、Mistral、xAIに加え、急速に台頭する中国勢のZhipu、DeepSeek、Qwen、Moonshot、Baichuanが名を連ねています。
このペースに追いつくのは容易ではありません。新しいフロンティアモデルはおよそ6〜8週間ごとに登場しており、GPT-5シリーズやAnthropicのOpusラインを通じてこのサイクルが繰り返されています。
競争の焦点はモデル本体から、その周辺の「仕組み」へと移っており、各社が買収しているのもまさにこの部分です。ここ数か月だけでも両社合わせて十数件の買収が行われており、対象はエージェント実行基盤、評価ツール、そして金融、生物学、ハードウェア分野にまで及びます。
「信念の注入」と既存ツールの限界
記憶力、実行予算、計画能力を備えたエージェントは、新たな攻撃対象領域を生み出します。標準的な監視範囲の外側には、モデルの認知、依存関係、アイデンティティという観点で分類される9つのエージェント固有のリスクが存在します。その中でもIezzi氏がこの10年を象徴するリスクカテゴリと位置づけているのが「信念の注入(belief injection)」です。
信念の注入とは、時間をかけてエージェントの統計的な振る舞いを持続的に操作する手法を指します。これは、汚染された検索パイプライン、改ざんされたファインチューニングデータ、歪められた人間からのフィードバック、そしてモデルが持つ「同意しがちな傾向」を悪用することで行われます。この侵害は通常の入力に紛れ込み、表面化するのはエージェントの意思決定の仕方が徐々に変化するという形だけです。標準的なSIEM、EDR、XDRといったツールは、異常なトラフィックのような決定論的なシグナルを読み取る仕組みのため、こうした緩やかなドリフトを見逃してしまいます。
既存のフレームワークも同様の盲点を抱えています。NIST、ISO 27001、NIS2、そして欧州AI法は、いずれもエージェントの振る舞いをほとんどカバーしていません。提案されている対応策の土台となるのが2つの要素です。1つは、モデルの背後にあるデータと重みを追跡する「モデル部品表(Model Bill of Materials)」、もう1つは、実行時にエージェントができることの範囲を制限する「行動エンベロープ(Behavioral Envelopes)」です。
ツールの成熟を待たずにドリフトを捉える
こうした標準が整うまでの間、Iezzi氏はセキュリティチームが今すぐ取り入れられる習慣を提示しています。まず、モデルのバージョンを固定し、ドリフトが発生した際にその原因を追跡できるようにすること。次に、ベンダーによるリリース、ファインチューニングの実施、プロンプトの更新など、承認済みのすべての変更を日付付きで記録しておくこと。監視でドリフトが検知されたにもかかわらず、その記録に該当する変更が見当たらない場合こそ、人間によるレビューへとエスカレーションすべき重要なシグナルだといいます。</p
6〜8週間というモデル更新のサイクルは、この状況をさらに複雑にします。新しいモデルバージョンが登場するたびに、それ自体が振る舞いの変化をもたらすからです。Iezzi氏が提案する対策は、承認済みの更新が行われた直後に評価セットを再構築し、直近の「正常であることが確認された状態」を基準に監視を行うというものです。
根本的に必要なのは発想の転換です。Iezzi氏は次のように述べています。「従来のサイバーセキュリティは侵害の痕跡(Indicators of Compromise)を探すものでした。しかしエージェント型AIでは、行動の痕跡(Indicators of Behavior)を探す必要があります。AIシステムは従来の意味では決して侵害されないかもしれません。ただ、異なる判断を下し始めるだけかもしれないのです」
Iezzi氏はこの点について、次のように留保を付けています。「このアプローチはレポートの分析的フレームワークから導き出したものであり、そこに示された緩和策のロジックを妥当な形で発展させたものです。実際に稼働している敵対的なシステムに対してテスト済みの検知手法というわけではありません」
エージェント型の運用をいち早く導入した企業では、コストを50%から80%削減できたと報告されており、動きの遅い競合他社との差が広がりつつあります。
Iezzi氏は、この競争によるドリフトこそが欧州にとっての最大の弱点だと指摘しており、米国と中国の企業を中心にデファクトスタンダードが定着するまでの猶予期間は、おおよそ18か月しかないとしています。
世界的なAIシステムの今後については、協調的な収束から部分的な崩壊まで、4つのシナリオが想定されています。中期的に最も可能性が高いのは、米国勢と中国勢の技術ブロックへの分裂で、その確率はおよそ40%とされています。一方、システム全体の信頼が崩壊するというシナリオが最も可能性が低いとされています。この分析の根底にある前提は明快です。エージェントは表面上何の問題もなく稼働し続けながら、それでも所有者が望まないような判断を下し始める可能性があるということです。
翻訳元: https://www.helpnetsecurity.com/2026/07/08/openai-anthropic-agentic-ai-security-risk/