◈ AIセキュリティ・インテリジェンス ← 用語一覧
Attack  ·  用語集

Excessive agency (AI agents)

定義
AIエージェントに、実際の作業に必要以上の権限、ツール、機能が与えられた場合、または蓄積された場合のこと。その後、エージェントが騙されたり、乗っ取られたりすると、これらの余分な権限が攻撃者の足がかりとなり、メール送信、ファイル修正、管理者アクセスへのエスカレーションなど、意図されたはるかに先の行動が可能になります。
なぜ重要か
ほとんどのエンタープライズAIエージェントの展開は、デフォルトで幅広い開発者またはサービスアカウント認証情報を継承しており、エージェントが侵害された場合に多大な影響範囲が生じます。最小権限の原則を適用し、エージェントに必要な最小限の権限のみを付与することが、主要な防御手段です。
最近の事例で確認
Palo Alto Networks Prisma AIRS: Privilege Misuse Detection for AI Agents (June 2026 Release)Linx Security: GA of Agentic Access Control — Inline MCP Gateway with Tool-Level Policy EnforcementAgentjacking: Sentry MCP Integration Weaponised to Execute Arbitrary Code on Developer Machines via Injected Error EventsCSA / Adversa AI AIRQ Report: 98% of Production AI Agents Carry the Lethal Trifecta — Only 11% Adequately Defended
参考資料
OWASP LLM Top 10 2025 — LLM06: Excessive AgencyCSA AI Agent Lethal Trifecta
ライブフィードで追跡 この概念が実際のAIセキュリティ・ガバナンスの動向でどう現れるかを確認。
フィードを開く →