エージェンティックAI(自律的に行動するAI)の普及に伴い、プロンプトインジェクション、メモリポイズニング、カスケード障害といった新たなセキュリティ脅威が顕在化しています。企業の8社に1社がすでにAIエージェント関連のセキュリティ侵害を報告しており、OpenAIも「プロンプトインジェクションは完全には解決されない」と認めています。
問題の本質は、大規模言語モデルがデータと命令を分離できない点にあります。メール、Webページ、ログファイルなど、あらゆるコンテンツが悪意あるコマンドとして機能し得るのです。セキュリティテストでは、複数ターンにわたる攻撃が8種類のオープンウェイトモデルで最大92%の成功率を記録しました。エージェントが人間のレビューなしに自律的に動作するため、攻撃が成功すると誰も気づかないうちに不正な操作が連鎖的に実行されます。Hacker Newsでは「単一の侵害されたエージェントが4時間以内に下流の意思決定の87%を汚染できる」という研究結果が衝撃をもって受け止められています。
実際の被害事例も報告されています。2026年のある事案では、OpenAIプラグインエコシステムへのサプライチェーン攻撃により、47のエンタープライズ展開からエージェント認証情報が収集されました。攻撃者は6ヶ月間にわたり顧客データ、財務記録、独自コードにアクセスしていたとのことです。また、76%の組織が「シャドウAI」(管理外で運用されるAI)を問題視しており、展開されたエージェントの半数以上がセキュリティ監視やログなしで動作しているという調査結果もあります。X上では「AIエージェントは信頼できる同僚と内部脅威の境界を曖昧にしている」とセキュリティ専門家が警告しています。
対策としては、ゼロトラストコントロール、最小権限アクセス、継続的認証、AIシステムの行動監視が推奨されています。エージェントAIの導入企業は、従来のセキュリティフレームワークでは対応できない新たなリスクに直面していることを認識する必要があります。
| - [Enterprises are racing to secure agentic AI deployments | Help Net Security](https://www.helpnetsecurity.com/2026/02/23/ai-agent-security-risks-enterprise/) |
|---|---|
| - [Predictions for 2026: Why AI Agents Are the New Insider Threat | Menlo Security](https://www.menlosecurity.com/blog/predictions-for-2026-why-ai-agents-are-the-new-insider-threat) |