自律型AIエージェントは、アプリケーションがデータ、ツール、および他のシステムと対話する方法を変革しています。これらのエージェントシステムが意思決定、コード実行、ネットワーク間の調整を行う機能を獲得するにつれて、セキュリティの確保が重要になります。
OWASP Agentic Applications Top 10(2026年版)は、2025年12月にリリースされた、自律型AIシステムに特化した初のセキュリティフレームワークです。Koiの独自研究からの発見である2つのエージェントAI脅威は、このフレームワークで引用されており、Koiは1年以上にわたってこの分野の脅威を追跡しています。
フレームワークはリスクを定義していますが、リスク識別は最初のステップに過ぎません。セキュリティチームはまだそれらを実行可能なアクションに変える必要があります。このガイドは、ゴールハイジャッキングからツール悪用、連鎖的障害、不正エージェント行動まで、10個のOWASPリスクすべてから保護するための5つのセキュリティプラクティスを提供することで、そのギャップを埋めています。各セクションでは脅威を説明し、実行可能な軽減戦略を提供します。
OWASP Agentic Top 10の概要
フレームワークは、自律型AIシステムに固有の10のリスクカテゴリを特定しています:
プラクティス1: インベントリを通じた可視性の構築
対象: ASI04(サプライチェーン)、ASI07(エージェント間通信)、ASI08(連鎖的障害)
見えないものは保護できません。エージェントAIシステムは、外部コンポーネント(エージェントホスト、AI拡張機能、MCPサーバ、AIモデルとエージェント)に依存しており、これらはしばしば実行時に動的に読み込まれます。これらのコンポーネントは従来のアセットインベントリに表示されないかもしれません。シャドウAIツールはポリシーをバイパスし、監視されていない攻撃面を作成します。何が実行されているか、コンポーネントがどのように接続されているかが見えない場合、リスクを評価し、ポリシーを実行し、1つのコンポーネントの障害がどのようにして環境全体に連鎖する可能性があるかを理解することはできません。
実践的な軽減:
- すべてのエージェントコンポーネント(エージェントホスト、エージェント、AI拡張機能、MCP、ツール、AIモデル)の完全なインベントリを維持する。
- 各コンポーネントのソース、バージョン、要求されたパーミッション、最後のレビュー日を追跡する。
- エージェントとMCPの関係をマップして、潜在的なカスケードパスを理解する。
Koiが支援する方法:
- 包括的なエンドポイント検出 – エージェントホスト、拡張機能、MCP、AIモデルを含むすべてのAIソフトウェアタイプをインベントリ化する。
- エージェントとMCPの関係とパーミッションマッピングへの可視性を提供する。
- セキュリティ可視化の外で動作するシャドウMCPを表面化する。
- 機密MCPとツールを特定し、影響カテゴリに従ってフラグを立てる。
- 発見されたAIツールとバージョンごとにリスク評価を提供し、更新間でセキュリティ変更にフラグを立てる。
プラクティス2: エージェントサプライチェーンをセキュアにする
対象: ASI04(サプライチェーン脆弱性)、ASI05(予期しないコード実行)
静的依存関係を持つ従来のソフトウェアサプライチェーンとは異なり、エージェントサプライチェーンは動的です。エージェントはツール、MCP、プラグインを実行時に読み込み、広いパーミッションで実行します。その構成に応じてリスク情報は変わります。単一の危険に侵された MCPは環境全体に連鎖する可能性があります。これには、ラグプル(正当なツールが秘密裏に悪意あるバージョンに置き換えられる)、タイポスクワッティング(見た目が似た名前)、AIエージェントがモデルによる依存関係名の幻覚で悪意あるパッケージを自律的にインストールするリスクが含まれます。
実世界の事例:
- 悪意あるPostmark MCPサーバ(OWASPで引用) – 野生で発見された最初の悪意あるMCP。npmのPostmarkのメールサービスに偽装、エージェント送信のメールをすべて秘密裏に攻撃者にBCC。バージョン1.0.16が悪意あるふるまいを導入した瞬間、私たちのリスクエンジンがこれを検出しました。
- 悪意あるMCPパッケージバックドア(OWASPで引用) – バックドアされたMCPサーバをホストするnpmパッケージ、デュアルリバースシェル(インストール時とランタイム)により、エージェント環境への永続的なリモートアクセスを実現します。
- PhantomRaven / Slopsquatting – AIアシスタントが推奨を求められたときに幻覚する名前の下に登録された126の悪意あるパッケージ。
実践的な軽減:
- ネイティブレジストリ統合を持つIDEの場合、信頼できるレジストリからのみMCPをソースすることを強制する(例:公式のGitHub MCPレジストリ)。
- デプロイ前にMCPコードと依存関係の脆弱性をスキャンする。
- エージェントパッケージインストール要求をプロキシ経由で処理し、未検証の依存関係をゲートウェイでブロックする。
Koiが支援する方法:
- AIツールタイプごとのリスク可視性 – 組織の露出を確認、許可すべきものをベットし、それに応じてガバナンスポリシーを設定する。
- GitHub MCPレジストリの強制 – 単一クリックで、MCPサーバを信頼できるレジストリのみに制限することで攻撃面を削減する。
- 動的ポリシーによるAI使用の管理 – 何が許可されているかを制御し、非準拠アイテムをブロックし、既存の違反を修復する単一の場所。
- エージェントパッケージインストール(npm、GitHub)をプロキシし、既知の脅威と悪意あるパッケージをブロックするサプライチェーンゲートウェイ。
プラクティス3: 高リスクMCP&ツールの識別と制限
対象: ASI01(エージェントゴール・ハイジャック)、ASI02(ツール悪用&悪用)
エージェント操作は、攻撃者が指示を注入したり、ツールインターフェイスを破損させたりして、エージェントを悪意あるように動作させながら正常に機能しているように見せるときに発生します。これは間接的なプロンプト注入、ツール汚染、またはツールシャドウイングを通じて行われます。すべてのMCPが同じリスクを持つわけではありません:外部コンテンツを取り込むものは注入ベクトルの可能性が高く、送信、削除、または実行するツールは深刻なダメージを引き起こす可能性があります。目標はすべての高リスクツールをブロックすることではなく、それらを制御し、高いユーザー生産性を確保することです。何が使用されているかを特定し、何を有効にするか、誰を有効にするかを決定し、高影響力のツールが信頼できるソースから来ることを確認します。鍵となるのは、これらの高リスクコンポーネントを特定し、攻撃が発生する前にアクセスを制限することです。
実世界の事例:
- Amazon Qサプライチェーン侵害 – 汚染されたPRは、正当なCLIツール経由でAWSリソースを削除するようAI コーディングアシスタントに指示を注入しました。フラグ–trust-all-tools –no-interactiveはすべての確認プロンプトをバイパスしました。
実践的な軽減:
- 入力検証なしにエージェントコンテキストに外部コンテンツを渡すMCPをゲートする。
- 高リスクツール(送信、削除、実行、認証なしで呼び出せるツール)にフラグを立てる。
- 高リスクツール実行前に明示的なユーザー承認を強制する。
- ブロックする代わりに規制する – 信頼できるベンダーからの高リスクツールを許可し、ユーザーグループとガバナンスポリシーによるスコープを設定する。
Koiが支援する方法:
- セキュリティ検出とリスク評価を通じて間接的なプロンプト注入の可能性があるMCPを特定する。
- ツール使用への可視性、影響と機能によって分類 – 何が使用されているかを確認し、リスクを理解し、制御対象を決定する。
- ユーザーまたはデバイスグループを範囲とするポリシー – チームがAIツール採用を安全に行い、組織の露出を増加させない。
- 許可されていないツール使用を強制する。
プラクティス4: 最小権限の実装
対象: ASI03(ID&権限乱用)、ASI05(予期しないコード実行)、ASI09(人的信頼悪用)
エージェントはすべてのツールへのアクセスを必要としません。メール要約機能は送信/削除パーミッションを持つべきではありません。コーディングアシスタントはAWS認証情報全体を持つべきではありません。エージェントが過剰な権限を継承するか、任意のコードを実行できる場合、侵害の被害範囲は劇的に拡大します。そして危険に侵されたエージェントが彼らを信頼する人間を誤解させるとき、技術的な障害は事業上の障害になります。
実世界の事例:
- PromptJacking: Claude Desktop RCE – AnthropicのコネクタのAppleScriptの無制限実行により、攻撃者はWebサーチコンテンツ経由でコマンド注入をトリガーできました。許可コマンドのホワイトリストがあれば、攻撃をブロックしていたでしょう。
実践的な軽減:
- 流出パス(例えば、データベース読み取り+外部ネットワークアクセス)を作成する有毒なツール組み合わせを特定してブロックする。
- エージェントが実行できるコードを制御 – 許可されたコマンドのホワイトリストを定義し、危険な操作(例:rm -rf、外部エンドポイントへのcurl、権限昇格)をブロックする。
- コマンド実行前に入力を検証 – チェーンコマンドパターン(例:&&)をブロックする。
Koiが支援する方法:
- IDEとAIアシスタント全体でのエージェント活動への可視性 – ツール呼び出しを監視し、リスクのあるツール組み合わせにポリシーを実装する。
- 実行前にコマンドをインターセプトして検査し、注入パターンをキャッチする。
- ツールカテゴリ(例:動的コード実行)のポリシーベースのブロック、ユーザーグループを範囲とする。
プラクティス5: エージェント行動の監視と迅速な対応
対象: ASI06(メモリ&コンテキスト汚染)、ASI08(連鎖的障害)、ASI10(不正エージェント)
いくつかの脅威はゲートで防ぐことができません。メモリ汚染はエージェントの長期記憶を破損させ、一貫して不正な決定を継続的に引き起こします。エージェントが汚染されているか意図的なふるまいから逸脱しているかにかかわらず、症状は似ています:異常なアクション、予期しないツール呼び出し、その目的と一致しない決定。これが相互接続されたシステムで発生する場合、単一の侵害は迅速に連鎖する可能性があります。検出は行動のドリフト監視を必要とします;対応は迅速なシャットダウンを必要とします。
実践的な軽減:
- 機密MCPを汎用エージェントから分離して、侵害時の影響を最小化する。
- 厳格な入出力検証により本番環境でエージェントを分離する。
- エージェントツール呼び出しをログして、予期しないパターンや意図的なふるまいからの逸脱を検出する。
- 侵害されたエージェントまたはMCPをすべてのエンドポイント間で即座に無効にするキルスイッチを維持する。
Koiが支援する方法:
- リスクのあるツール組み合わせを持つ機密MCPとエージェントワークフローへの可視性。
- 高リスクツールからのエージェント隔離と クロスシステムアクセス制限を行うポリシー実装。
- 環境全体で侵害されたエージェントまたはMCPを無効にする一元化されたキルスイッチ。
OWASP Top 10フレームワークが組織を保護するのに役立つ
OWASPフレームワークが重要な理由は、急速に変動する脅威空間を、セキュリティとエンジニアリングが実際に整合できる共有チェックリストに変えるからです。エージェントAIの場合、そのチェックリストはリスクが入る場所で実装可能な場合にのみ有用です:エージェントホスト、IDE拡張機能、MCPサーバ、プラグイン、パッケージ、チームが公開レジストリから取得してエンドポイント全体にインストールするモデル。
Koiは、これらのカテゴリを実際のコントロールに結び付けることで、OWASP Agentic Top 10を実行可能にします。エージェントコンポーネント(バイナリとバイナリ以外のソフトウェアの両方を含む)をインベントリ化し、バージョン間に何が変更されたかを確認し、アイテムごとにリスクをスコア化し、単一の侵害されたMCP、タイポスクワット、または悪意あるアップデートがフロート全体に静かに広がらないようにソーシングとインストールポリシーを実行することができます。その後、例外を許可する必要がある場合、アドホックインストールに依存する代わりに、適切なユーザーとデバイスにスコープを設定して意図的にそれを行うことができます。
OWASP Agentic Top 10を環境にマップし、今日何に露出しているかを確認したい場合は、デモをブックできます。私たちはあなたの現在のエージェントフットプリントと、チームを遅くすることなくリスクを軽減する特定のポリシーについて説明します。
翻訳元: https://www.koi.ai/blog/owasp-agentic-ai-top-10-a-practical-security-guide
