◈ AIセキュリティ・インテリジェンス ← 用語一覧
Concept  ·  用語集

AI agent

定義
世界で行動を起こすだけでなく、質問に答えるAIシステム — ウェブサイトをブラウジングし、コードを書いて実行し、メールを送信し、外部サービスを呼び出す — 多くの場合、ステップのチェーンで、各ステップでほぼ人間の承認がない状態で行われます。単純なチャットボットとは異なり、エージェントは自分で実行するステップを決定することで目標を追求します。
なぜ重要か
AIエージェントがより自律的に機能するほど、それが操作される、侵害される、または単に間違っている場合の潜在的な損害が大きくなります。ビジネスシステムへのアクセス権を持つエージェントは、機械速度で実世界の害をもたらす可能性があります — データの削除、購入の実行、または秘密の漏洩。
最近の事例で確認
CSA / Adversa AI AIRQ Report: 98% of Production AI Agents Carry the Lethal Trifecta — Only 11% Adequately DefendedCSA Labs: AI Agent Lethal Trifecta — 98% of Production Agents Simultaneously Combine Sensitive Data Access, Untrusted Input, and Outbound Action CapabilityLangflow AI Orchestration Platform Path Traversal → Unauthenticated RCE Actively Exploited (CVE-2026-5027)NewCore Launches from Stealth with $66M — Security-First Identity Infrastructure for AI AgentsOWASP Launches Enterprise Adoption Maturity Model for Agentic AI — Six-Level Deployment Axis vs Four-Level Governance Axis
このトピックの事例 (60)
Splunk AI Toolkit btoolコンフィグレーションヘルパー経由のOSコマンドインジェクション (CVSS 9.1)PraisonAI MultiAgentMonitor パストラバーサル — エージェントIDを通じた任意ファイル読み取り/書き込み (CVSS 8.8)PraisonAIのハードコードされたapproval_mode:auto 認証済みユーザーが任意のシェルコマンドを実行可能 (CVSS 8.8)C1エンタープライズ管理認可(EMA)for MCP — Anthropicのオープンエージェント認可標準に対する初日サポートAutoJack — Localhost MCP WebSocket経由の新規AIエージェントRCE悪用チェーン(AutoGen Studio、Microsoft Research)Eclipse Theia AI Chat — Markdown Image Tags Enable Prompt-Injection-Driven Data Exfiltration (CVE-2026-22551)Eclipse Theia AI — 悪意のある .prompttemplate ファイルが AI システムプロンプトをオーバーライド (CVE-2026-46580)Eclipse Theia AI Chat — ワークスペースのファイル/ディレクトリ名がAIシステムプロンプトに注入 (CVE-2026-44688)googleapis/mcp-toolbox — レガシープロトコルハンドラーにおけるスコープ強制のバイパス (CVE-2026-11719)mcp-pinot MCP Server — HTTP インターフェースに認証なし、任意のネットワーク攻撃者に SQL 実行を露出 (CVE-2026-49257)OWASP Agentic Skills Top 10 (AST10) — AI エージェント スキルのための初の セキュリティ フレームワークを公開WitnessAI Agentic Control: AI AgentおよびMCPサーバーガバナンス用の単一コントロールプレーンLiteLLM 低権限 → 管理者 → RCE 権限昇格チェーン (CVSS 9.9, Obsidian Security)LiteLLM MCP エンドポイント コマンドインジェクション — Starlette BadHost チェーンによる未認証 RCE (CISA KEV)英国下院歳出委員会相当機関 — 米国FY2027 DHS法案:CISA + NISTにエージェンティックAIのアイデンティティ・アクセス管理ガイダンス公開を要求する指示報告書CrowdStrike Continuous Identity for AI Agents — Real-Time, Zero-Standing-Privilege Authorization via SPIFFE (Identiverse 2026)推論拡張型サービス妨害攻撃がAIエージェントガードレールを武器化(新規攻撃クラス)Royal MCP WordPress プラグイン — 認証なしの不正なアクセス制御 (CVE-2026-40775)OpenClaw Slack Reaction Events Bypass Disabled Notification Setting — Unintended Agent Pipeline Triggering (CVE-2026-53851)OpenClaw MCP Serverがオペレータのカスタムヘッダーを攻撃者制御のリダイレクトに漏洩 (CVE-2026-53840)Cloud Security Alliance: '7 MCP Risks CISOs Should Consider and How to Prepare' — Model Context Protocol セキュリティに関する権威あるプラクティショナーガイダンスRoyal MCP WordPress プラグイン — 認証なしの不正アクセス制御 (CVSS 7.3)Cursorエディタがユーザーの承認なしにワークスペース内の.claude/settings.local.jsonから悪意のあるClaudeフックコマンドを実行Netskope AI Gateway がインラインMCPトラフィック検査とエージェントガードレールを追加Google Security Operations: 脅威検知、トリアージ、ハンティング向け新AI Agent SuiteMicrosoft ASSERT: AI エージェント向けオープンソース仕様ベース評価フレームワークShai-Hulud/Hades キャンペーン: PyPI サプライチェーン ワームが AI スキャナー回避プロンプトと AI コーディングエージェント設定のバックドアを注入mcp-server-kubernetes CVE-2026-46519 — CVSS 8.8 MCP Kubernetes Server における環境変数オーバーライドを経由したアクセス制御回避間接的なプロンプトインジェクションはデプロイメント固有ではなく、アーキテクチャ上の問題である — BraveがクラウドおよびローカルAIツールに対する攻撃を実証Miasma Wormが AI コーディングエージェントハイジャックにエスカレート — SessionStart フックペイロード注入後、Microsoft GitHub リポジトリ 73 個が無効化Depthfirst Autonomous AI AgentがFFmpegの21個のゼロデイを発見(CVE-2026-39210–39218)、コスト約$1,000 — AIアクセラレーテッド脆弱性経済がプロダクションスケールで到来AI AgentがFFmpegの21個のゼロデイを発見 — CVE-2026-39210からCVE-2026-39218はRTSPストリーム経由のRCEプリミティブを含むMicrosoft Security Blog: CI/CD権限バイパスの脆弱性(Claude Code GitHub Actionsで発見)がサプライチェーン侵害を可能に — 修復ガイダンスを公開Depthfirst Autonomous AI AgentがFFmpegで21個のゼロデイを発見 — 約$1,000で発見から修復までのギャップが拡大Microsoft Build 2026: Microsoft Execution Container SDK と Extended Agent 365 によるローカルエージェンティック AI のコンテイメントとガバナンスCISA KEV: CVE-2025-48595 — Android Framework 整数オーバーフローによるローカル権限昇格、積極的に悪用中AWS Amazon Bedrock AgentCore がCedarベースのポリシーとLambda インターセプターを追加し、決定論的なAIエージェント ツール認可を実現CVE-2026-44211 (CVSS 9.6): Cline Autonomous Coding Agent — クロスオリジン WebSocket ハイジャックにより、サイレント ワークスペース データ流出およびコマンドインジェクションが可能、パッチなし中国国務院がAI対外投資に関する包括的ルールを発表 — 技術追跡枠組みが企業の本拠地に関わらず国境を越えたAI取引を対象Palo Alto Networks、Portkey買収を完了し、Prisma AIRS AIゲートウェイをエージェンティック制御プレーンとして立ち上げCVE-2026-40933: Flowise 1クリックRCE(MCP stdio経由)— 悪意のあるChatflowのインポートにより任意のサーバー側コード実行が発生Palo Alto Networks、Portkey買収を完了 — AI Gatewayが Prisma AIRS のエージェント型エンタープライズセキュリティの制御プレーンにCVE-2026-48710 'BadHost': Starlette の認証なし認可回避が vLLM、LiteLLM、FastAPI、MCP Server インフラストラクチャを露出フロンティアAI能力を測定するためのオープンワールド評価RAMPARTとClarityの紹介:エージェント開発ワークフローに安全性をもたらすオープンソースツールGoogleが CodeMender セキュリティエージェントを Agent Platform エコシステムに統合Langflow AIワークフロープラットフォーム オリジン検証エラーがクロスオリジントークン盗難を可能に — CVE-2025-34291がCISA KEVに追加Expediaが旅行インベントリへの直接的なAIエージェントアクセスを可能にするModel Context Protocolサーバーを準備中Anthropic、Claude Code サンドボックスバイパスを静かにパッチ;5ヶ月間で2番目のバイパス、CVE発行なしKPMGとAnthropicがグローバルアライアンスを発表 — Claudeを27万6,000人の従業員向けデジタルゲートウェイに統合Frontier Risk Report(2026年2月~3月)SAPがベンダー非依存のエージェント管理のためのAIエージェントハブを導入研究者らがAIエージェントフレームワークのためのオペレーティングシステムセキュリティモデルを提案セマンティック・コンプライアンス・ハイジャッキング:ペイロードレスAIエージェント・サプライチェーン攻撃が現在のスキャナーを回避Shadow-Aether キャンペーン:ラテンアメリカにおけるAIエージェント攻撃 — ジailbreak されたClaudeを使用した完全チェーン脅威の自動化Palo Alto Networks、人間、マシン、AIエージェント ID のための Idira Identity Security Platform を発表Lyrie.aiがAgent Trust Protocol (ATP)をリリース—AI Agent暗号検証の初のオープンスタンダードClaudeBleed: Chrome拡張機能の脆弱性がAnthropicのAIエージェントのハイジャックを可能にCloud Security Alliance: AI Agent Identity Architectures Are Being Built BackwardsCline Kanban WebSocket ハイジャッキング AI エージェント乗っ取りを可能にする (CVSS 9.7)
参考資料
OWASP Agentic AI Maturity ModelCSA AI Agent Lethal Trifecta
ライブフィードで追跡 この概念が実際のAIセキュリティ・ガバナンスの動向でどう現れるかを確認。
フィードを開く →