何が起きたか
Microsoft の AI Red Team は 6 月 4 日にエージェント AI システムの障害モードに関する更新された分類法を公開し、Microsoft Security Copilot および MCP エコシステムを含む本番環境デプロイに対する 1 年間のレッド チーム エンゲージメントから導き出された 7 つの新しいカテゴリを追加しました。新しいカテゴリは、エージェント サプライ チェーン侵害、目標ハイジャック、エージェント間信頼昇格、コンピュータ使用エージェント ビジュアル攻撃、セッション コンテキスト汚染、MCP/プラグイン悪用、および機能/アーキテクチャ開示です。このポストは、オープンソースのエージェント フレームワーク (OpenClaw) が 336 個の確認済みの悪意あるプラグインを含みながら、迅速に数千のデプロイを蓄積した方法を説明しており、エージェント エコシステムがセキュリティ レビューよりも速くスケーリングできる方法を示しています。
なぜ重要か
2025 年の初版 (将来を見据えたものでした) とは異なり、このアップデートは本番環境で確認された悪用チェーンに基づいています。ゼロクリック データ流出とラテラル ムーブメントは外部発信元の入力のみから記録されており、初回エージェント デプロイ以外のユーザー インタラクションはありません。ループ内の人間をバイパスすることは、最も悪用される障害モードとして識別され、承認プロンプトが意味のあるセキュリティを提供するという仮定に直接異議を唱えています。Microsoft はエージェント SBOM 生成、タスクごとのアイデンティティ検証、およびツール呼び出しごとの最小権限スコープを推奨しています。
必要な対応
7 つの新しい障害モードをデプロイ済みエージェント アーキテクチャにマップします。特に、人間による承認プロンプトをバイパスできるかどうか、および MCP/プラグイン レジストリが悪意あるエントリについてレビューされているかどうかを監査してください。