何が起きたか
Cloud Security Alliance Labsは2026年6月6日に『The AI Agent Lethal Trifecta』を公表しました。これは100の商用および公開利用可能なエージェントに関するAI Risk Quadrant Q2 2026評価に基づいています。この評価では、攻撃面、爆発範囲、および防御的制御全般にわたってエージェントを評価し、98%が3つのLethal Trifecta条件をすべて同時に保持していることを発見しました:プライベート/機密データへのアクセス、信頼できない外部コンテンツ(メール、ドキュメント、ウェブページ、APIレスポンス)への露出、および現実世界の影響を与える外向きアクションの実行能力。また、このレポートは機能-防御の反転も文書化しています:リポジトリ、CIパイプライン、およびパッケージレジストリへの書き込みアクセスを保持するコーディングエージェントは、機能では2位にランクされていますが防御では8位であり、サプライチェーン影響のための最高優先度の侵害目標になっています。
なぜ重要か
Trifecta フレーミングは、間接的なプロンプトインジェクションを理論的懸念から測定可能な本番環境リスクへと具体化します:Trifecta エージェントに到達するあらゆる信頼できないコンテンツは、ユーザーが意図しない方法でその特権アクセスを使用するよう指示することができ、直接的なシステムアクセスは必要ありません。AI関連のセキュリティインシデントを経験した組織の97%が適切なAIアクセス制御が欠けていたという調査結果と、わずか21%の経営幹部しかそのエージェントのパーミッションを完全に把握していないという調査結果を合わせると、ほとんどの現在のデプロイメントは最も弱いガバナンスを備えた最高リスク構成で動作しています。セキュリティチームはエージェントをアプリケーションではなく特権インフラストラクチャ相当物として扱い、同じ最小権限およびセグメンテーション制御を適用すべきです。
必要な対応
今週、デプロイされたすべてのエージェントを3つのTrifecta条件に対して監査してください:(1) エージェントが読み取り可能な機密データは何ですか?(2) どの信頼できないコンテンツをそれが取り込みますか?(3) それが実行可能な外向きアクションは何ですか?3つすべてを保持するエージェントには補償制御が必要です - ツールアローリスト、高リスク操作のアクションごとの承認ゲート、独立した制御テスト、および専用ロギング。リポジトリ/パイプライン書き込みアクセス権を持つコーディングエージェントが最高優先度のリスクです。