◈ AIセキュリティ・インテリジェンス ← 用語一覧
Concept  ·  用語集

AI agent

定義
世界で行動を起こすだけでなく、質問に答えるAIシステム — ウェブサイトを閲覧したり、コードを書いて実行したり、メールを送信したり、外部サービスを呼び出したりします — 多くの場合、各ステップでほとんどまたはまったく人間の承認がない一連のステップで。シンプルなチャットボットとは異なり、エージェントは自分で何をするかを決めることにより、目標を追求します。
なぜ重要か
AIエージェントがより自律的に行動するほど、それが操作されたり、侵害されたり、単に間違っていたりした場合の潜在的な損害は大きくなります。ビジネスシステムへのアクセス権を持つエージェントは、実世界の害をもたらす可能性があります — データを削除したり、購入したり、秘密を漏らしたりします — マシンの速度で。
最近の事例で確認
CSA / Adversa AI AIRQ Report: 98% of Production AI Agents Carry the Lethal Trifecta — Only 11% Adequately DefendedCSA Labs: AI Agent Lethal Trifecta — 98% of Production Agents Simultaneously Combine Sensitive Data Access, Untrusted Input, and Outbound Action CapabilityLangflow AI Orchestration Platform Path Traversal → Unauthenticated RCE Actively Exploited (CVE-2026-5027)NewCore Launches from Stealth with $66M — Security-First Identity Infrastructure for AI AgentsOWASP Launches Enterprise Adoption Maturity Model for Agentic AI — Six-Level Deployment Axis vs Four-Level Governance Axis
このトピックの事例 (60)
Microsoft AutoJack: MCP WebSocket 経由の AI エージェントフレームワークにおける RCE エクスプロイトチェーンC1 Enterprise-Managed Authorization (EMA): 管理されたAIエージェントアクセス向けMCP標準C1 Autonomous Worker: エンタープライズアイデンティティガバナンス向けAIエージェント(GA)CrowdStrike Continuous Identity for AI Agents: リアルタイムSPIFFEベースの認可Aembit IAM Support for Microsoft Copilot Studio Agents2026年のAIガバナンスの状況Mastra npm スコープ乗っ取り — easy-day-js サプライチェーン攻撃経由で144パッケージが危険にさらされるLiteLLM 3つのCVEの権限昇格チェーン(CVE-2026-47101、CVE-2026-47102、CVE-2026-40217)CVSS 9.9Drata AI Agent Governance: エンタープライズエージェント発見とコントロール向けアーリーアクセス機能Eclipse Theia AI Chat — Markdownイメージタグがプロンプトインジェクション駆動型データ流出を有効化(CVE-2026-22551)Eclipse Theia AI — 悪意のある .prompttemplate ファイルが AI システムプロンプトをオーバーライド (CVE-2026-46580)Eclipse Theia AI Chat — ワークスペースのファイル/ディレクトリ名がAIシステムプロンプトに注入される (CVE-2026-44688)googleapis/mcp-toolbox — レガシープロトコルハンドラーにおけるスコープ強制のバイパス (CVE-2026-11719)mcp-pinot MCP Server — HTTP インターフェースの認証なしで SQL 実行がネットワーク攻撃者に公開される (CVE-2026-49257)OWASP Agentic Skills Top 10 (AST10) — AI エージェントスキルのための初の セキュリティフレームワークを公開WitnessAI Agentic Control: AI AgentおよびMCP Serverガバナンス向け統一制御プレーンLiteLLM 低権限 → 管理者 → RCE 権限昇格チェーン (CVSS 9.9、Obsidian Security)英国下院歳出委員会相当機関——米国 FY2027 DHS 法案:CISA と NIST がエージェンティック AI のアイデンティティ・アクセス管理ガイダンスを公開することを求める指令報告書CrowdStrike Continuous Identity for AI Agents — SPIFFE経由のリアルタイム、ゼロ・スタンディング・プリビレッジ認可(Identiverse 2026)推論拡張型サービス妨害攻撃がAIエージェント保護機構を武器化(新規攻撃クラス)Royal MCP WordPress プラグイン — 認証なしの不正アクセス制御 (CVE-2026-40775)OpenClaw Slack反応イベント無効通知設定バイパス — 意図しないエージェントパイプライントリガリング (CVE-2026-53851)OpenClaw MCPサーバーがオペレータカスタムヘッダーを攻撃者制御リダイレクトに漏洩 (CVE-2026-53840)Cloud Security Alliance: '7 MCP Risks CISOs Should Consider and How to Prepare' — Model Context Protocol セキュリティに関する権威的な実務家向けガイダンスRoyal MCP WordPress プラグイン — 認証なしの不正なアクセス制御 (CVSS 7.3)Cursorエディタがワークスペースの.claude/settings.local.jsonから悪意のあるClaudeフックコマンドをユーザー承認なしで実行Netskope AI Gateway がインライン MCP トラフィック検査とエージェント ガードレールを追加Google Security Operations: 脅威検出、トリアージ、およびハンティングのための新しいAIエージェントスイートマイクロソフトASSERT:AI エージェント向けオープンソース仕様-評価フレームワークShai-Hulud/Hades キャンペーン: PyPI サプライチェーン ワーム が AI スキャナー回避プロンプトと AI コーディングエージェント設定バックドアを注入mcp-server-kubernetes CVE-2026-46519 — CVSS 8.8 MCP Kubernetes Server における環境変数オーバーライドによるアクセス制御回避Indirect Prompt Injection はアーキテクチャの問題であり、デプロイメント固有ではない — Brave がクラウドおよびローカル AI ツールへの攻撃を実証Miasma Wormが AI コーディングエージェントハイジャックにエスカレート — SessionStart Hook ペイロード注入後、73個の Microsoft GitHub リポジトリが無効化Depthfirstの自律型AI エージェントが21件のFFmpeg ゼロデイを発見(CVE-2026-39210–39218)、コストは約1,000ドル — AI加速脆弱性エコノミクスが本番規模に到達AI Agentが21個のFFmpegゼロデイを発見 — CVE-2026-39210からCVE-2026-39218 RTSPストリーム経由のRCEプリミティブを含むMicrosoft Security Blog: CI/CD Permission Bypass in Claude Code GitHub Actions Enables Supply-Chain Compromise — Remediation Guidance PublishedDepthfirst Autonomous AI Agent が FFmpeg の 21 個のゼロデイを約 $1,000 で発見 — Discovery-to-Remediation ギャップが拡大Microsoft Build 2026: Microsoft Execution Container SDK と Extended Agent 365 によるローカルエージェンティック AI の封じ込めとガバナンスCISA KEV: CVE-2025-48595 — Android Framework Integer Overflow により Local Privilege Escalation が可能、積極的に悪用中AWS Amazon Bedrock AgentCore、決定的なAIエージェントツール認可のためのCedarベースのポリシーとLambdaインターセプターを追加CVE-2026-44211 (CVSS 9.6): Cline Autonomous Coding Agent — Cross-Origin WebSocket Hijack により、サイレントなワークスペース流出とコマンドインジェクションが可能、パッチなし中国国務院、包括的なAI対外投資ルールを公表 — 技術追跡フレームワークが企業の登記地に関わらずクロスボーダーAI取引を対象Cyberhaven、ツールポイズニング、間接プロンプトインジェクション、シャドウMCPを主要なリスク分類として、エンタープライズMCPセキュリティガイドを公開Palo Alto Networks、Portkey買収完了、Prisma AIRS AIゲートウェイをエージェント制御プレーンとして立ち上げCVE-2026-40933: Flowise 1-Click RCE via MCP stdio — 悪意のあるChatflowのインポートにより任意のサーバー側コード実行がトリガーされるGray Swan、$4,000万のシリーズAを調達 — CMUスピンアウトのAIレッドチーミングプラットフォーム、11の最先端モデルシステムカードで引用され、エンタープライズ展開を拡大Palo Alto Networks、Portkeyの買収を完了 — AI Gatewayが Prisma AIRSのエージェント企業セキュリティの制御プレーンにCVE-2026-48710 'BadHost': Starlette の認証されていない認証バイパスにより vLLM、LiteLLM、FastAPI、および MCP Server インフラストラクチャが露出フロンティアAI能力を測定するためのオープンワールド評価RAMPART と Clarity の紹介: エージェント開発ワークフローに安全性をもたらすオープンソースツールGoogleはCodeMender Security AgentをAgent Platform Ecosystemに統合Langflow AI ワークフロープラットフォームのオリジン検証エラーがクロスオリジントークン盗難を可能にする — CVE-2025-34291がCISA KEVに追加Expediaが旅行インベントリへの直接的なAIエージェントアクセスを可能にするモデルコンテキストプロトコルサーバーを準備中Anthropicが暗黙的にClaude Code Sandboxのバイパスをパッチ; 5ヶ月間で2番目のバイパス、CVEは発行されずKPMGとAnthropicがグローバルアライアンスを発表 — ClaudeをDigital Gatewayに組み込み276,000人の従業員に展開Frontier Risk Report(2026年2月~3月)SAPがエンタープライズエコシステム全体にわたるベンダーニュートラルなエージェント管理のためにAIエージェントハブを導入TU BerlinおよびMax Planck Institute for Security and Privacyの研究者は、オペレーティングシステムセキュリティの観点からLLMベースのエージェントの体系的なセキュリティ分析を発表しました。このペーパーはOpenClaw形式のエージェントを調査し、統一されたエージェントアーキテクチャを導き出し、広く使用されている4つのエージェントを評価しています。この研究により、いくつかの保護メカニズムが適度な攻撃者能力下で失敗し、安全な運用には詳細なシステムナレッジと慎重な設定が必要であることが判明しました。セマンティック・コンプライアンス・ハイジャッキング:ペイロードレスAIエージェント・サプライチェーン攻撃が現在のスキャナーを回避Shadow-Aether キャンペーン: ラテンアメリカ全域のアクティブな AI エージェント攻撃 — Jailbreak された Claude を使用した完全なチェーン脅威自動化
参考資料
OWASP Agentic AI Maturity ModelCSA AI Agent Lethal Trifecta
ライブフィードで追跡 この概念が実際のAIセキュリティ・ガバナンスの動向でどう現れるかを確認。
フィードを開く →