大規模言語モデル(LLM)を活用し、自動または半自動でタスクを実行するAIエージェントの新たな導入は、独自の新たなサイバーセキュリティリスクをもたらしています。
最近Palo Alto Networksに買収されたProtect AIのチーフアーキテクトであるショーン・モーガン氏は、8月5日にラスベガスで開催されたBlack HatのAIサミットで、エージェンティックAIの主なリスクについて強調しました。
彼はこれらのリスクを主に3つのカテゴリーに分類しました:
- AIエージェントへの指示内のコンテキストの改ざん
- 動的なツール調達とサプライチェーンリスク
- AIエージェントの制御フロー全体における認証および認可のミス
AIエージェント利用における主な3つのサイバーリスク
コンテキストの改ざん
モーガン氏によると、コンテキストの改ざんはAIエージェントにとって最も重大なセキュリティリスクです。
LLMは本質的に、正当な指示と悪意のある介入を区別するのが苦手です。
モーガン氏は、これらのモデルは「コンテキスト内のどの情報が意図したユーザーから来ているのかを判断するのが非常に不安定である」と指摘しました。
これは、攻撃者がAIエージェントの本来の目的を完全に書き換えるような指示を戦略的に注入できることを意味します。これはSQLインジェクション攻撃に似ています。
さらに、モーガン氏は、この脆弱性は単純なテキストのやり取りを超えて広がると述べました。コンテキストは、チャット履歴、長期記憶とのやり取り、ベクターデータベース、ドキュメントリポジトリ、さらには他のAIエージェントからの出力など、複数のチャネルを通じて改ざんされる可能性があります。
あるエージェントの幻覚(誤情報)が、別のエージェントにとっての「事実」となり、誤情報が連鎖的に広がるリスクが生じます。
現実の例として、EchoLeakのような、Microsoft 365 Copilotにおける重大なゼロクリック脆弱性があります。これは、単純なメールで機密企業データの流出を引き起こす可能性があり、悪意のあるメールやリポジトリのREADMEファイルがAIエージェントの理解や行動を操作できることを示しています。
複数エージェントが関与するシステムでは、やり取りが指数関数的に予測不可能になり、その複雑さが増します。
攻撃者は、エージェントの行動を徐々に変化させるコンテキストの改ざんの連鎖を作り出し、検出を極めて困難にする可能性があります。
動的ツール調達とサプライチェーンリスク
動的なツール調達は、AIエージェントが自律的にタスクを達成するためにツールを選択・組み合わせることで、重大なセキュリティの複雑性をもたらします。
Model-Context Protocol(MCP)は、エージェントが利用可能な資産を柔軟に組み合わせることを可能にしますが、この柔軟性が大きなセキュリティ脆弱性を生み出します。エージェントは意図しない方法でツールを連携させてしまい、偶発的なデータ漏洩や流出経路を作り出す可能性があります。
サプライチェーンリスクは、異なるサービスやツール間の潜在的な相互作用から生じます。一見無害なツールが、エージェントの行動を操作したり、バックドアアクセスを作り出す指示を含んでいることもあります。
モーガン氏は「MCPバグホール」と呼ばれる事例について説明しました。これは、以前は信頼されていたサービスが突然その挙動を変え、システム全体を予期せぬリスクにさらすものです。この動的な性質により、セキュリティ評価は継続的に困難となり、ツール間の相互作用はリアルタイムで変化し得ます。
これらのリスクは、AIエージェントの本質的な強みである自律的な資源の組み合わせ能力を悪用するため、非常に危険です。
攻撃者は、一見正当なツールリクエストに見えるが、実際には隠れた悪意のある指示を含む巧妙な攻撃を仕掛けることができます。
Protect AIのモーガン氏は、これらの相互作用の脅威モデル化には、個々のツールだけでなく、それらの組み合わせ効果を理解する必要があると警告しています。
認証と認可の複雑性
AIエージェントにおける認証および認可の状況は、サイバーセキュリティにおいて前例のない課題をもたらします。
モーガン氏が説明したように、これらのシステムは「膨張するシステム」を生み出し、AIエージェントをアイデンティティや権限の観点からどのように効果的に保護するかが問題となります。
従来の線形認証モデルは、流動的かつ動的なやり取りを持つマルチエージェント環境では機能しなくなります。
複雑なマルチエージェントシステムでは、オーケストレーションを担うエージェントが複雑な権限の状況を乗り越えなければなりません。
モーガン氏は次のように説明しました。「ユーザーがオーケストレーションエージェントとやり取りしています。ユーザーとしての自身のアイデンティティを提示する必要があります。オーケストレーター自体も何らかのアイデンティティを持ち、これらの専門的なサブエージェントとやり取りするための権限を持つ必要があります。」
これは、各やり取りごとに複数のシステム層にわたる微妙なアイデンティティ検証が必要になることを意味します。
これらの権限移行を理解することは、特にフォレンジック上の課題となります。
モーガン氏は、重要な疑問として次のように述べています。「オーケストレーションエージェントが制御フローを構築する各ステップで、どの時点でどの役割を担い、どの側面で権限が昇格したのかをどのように追跡するのか?」
これは、エージェントが認可状態をいつ・なぜ変更したのかを正確に追跡する必要があることを意味し、やり取りが複雑になるほど指数関数的に困難になります。
最も重大なリスクは、これらの認可変更の予測不可能性にあります。エージェントは、さまざまなサブエージェント間で動的に権限を調整し、異なるデータコンポーネントやツールにアクセスする必要があるかもしれません。
最終的に、モーガン氏は、これらの認証課題を解決するには「AI特有のセキュリティソリューション」と「エンドツーエンドの可視性」が必要であり、リアルタイムであらゆる権限移行を追跡・検証できる包括的なアプローチが求められると示唆しました。
目標は、各エージェントのアイデンティティと認可を、ますます複雑化するマルチエージェントのやり取りの中で正確にマッピング、監視、制御できるシステムを構築することです。
エージェンティックAIのセキュリティ欠陥を回避する方法
最後に、モーガン氏はエージェンティックAIのユースケースを安全に開発したい人々に向けて、いくつかの推奨事項を示しました:
- 自社内およびSaaS型のエージェンティックなワークロードを理解する
- すべての指示コンテキストの可視性と制御を維持する
- 適切な認証・認可制御を促進するプロトコルやシステムを開発する
- AIエージェントによるツールやリソースの選択を確実に検証する方法を開発する
- エージェンティックな導入やSaaSソリューションの脅威モデルを作成する
- AIセキュリティ特有のエンドツーエンドソリューションを追加する
- エージェンティックAIセキュリティの最新の開発や研究に常に注意を払う
翻訳元: https://www.infosecurity-magazine.com/news/top-cyber-threats-facing-agentic/