何が起きたか
Cloud Security Alliance Labsは2026年6月6日に『The AI Agent Lethal Trifecta』を公開し、AI Risk Quadrant Q2 2026による100の商用およびパブリック利用可能なエージェントの評価に基づいている。この評価は、攻撃面、影響範囲、防御制御全体でエージェントを評価し、98%が同時にLethal Trifectaの3つの条件すべてを保持していることを発見した:プライベート/機密データへのアクセス、信頼できない外部コンテンツ(メール、ドキュメント、Webページ、APIレスポンス)への露出、および実世界の影響を伴うアウトバウンドアクションを実行する能力。このレポートは、機能と防御の反転についても記述している:リポジトリ、CIパイプライン、パッケージレジストリへの書き込みアクセス権を持つコーディングエージェントは、機能では第2位にランクされているが防御では第8位であり、サプライチェーンへの影響のための最優先の侵害対象となっている。
なぜ重要か
Trifectaフレームワークは、間接的なプロンプトインジェクションを理論的懸念から測定可能な本番環境リスクへと運用化する:Trifectaエージェントに到達する任意の信頼できないコンテンツが、ユーザーが意図していない方法で特権アクセスを使用するよう指示でき、直接システムアクセスの必要性はない。AI関連のセキュリティインシデントを経験した組織の97%が適切なAIアクセス制御の欠落があり、経営陣の21%しかエージェントの権限について完全な可視性を持たないという事実は、ほとんどの現在のデプロイメントが最高リスク構成で最弱のガバナンスで運用されていることを意味する。セキュリティチームは、エージェントをアプリケーションではなく特権インフラストラクチャ同等物として扱い、同じ最小権限および分離制御を適用する必要がある。
必要な対応
今週、デプロイされているすべてのエージェントを3つのTrifecta条件に対して監査する:(1)エージェントが読み取れる機密データは何か?(2)どのような信頼できないコンテンツを取得しているか?(3)実行可能なアウトバウンドアクションは何か?3つすべてを保持するエージェントには、補償制御が必要である—ツール許可リスト、高リスク操作のアクション単位の承認ゲート、独立した制御テスト、専用ログ記録。リポジトリ/パイプライン書き込みアクセス権を持つコーディングエージェントが最優先のリスクである。