2026年6月、エージェント型AIを狙ったセキュリティインシデントの報告が相次いでいます。Adversa AIなどの研究グループが公表した内容によると、コーディングエージェントによるリモートコード実行(RCE)攻撃、Microsoft Semantic Kernelの複数の脆弱性、そしてGitHub Copilotへのバックドアの埋め込みが確認されました。セキュリティの第一人者Bruce Schneierは「AIの脆弱性開示プロセスは、従来のCVEフレームワークへの根本的な見直しが必要だ」と警告を発しています。
コーディングエージェントのRCEは、エージェントがツール呼び出しを通じて外部システムを操作する際に生じる許可モデルの設計上の欠陥を突くものです。X上では「AIエージェントのRCEはツール呼び出しの許可モデルに根本的な欠陥がある」という技術解説が拡散し、エージェントセキュリティの重要性が広く認識されるきっかけとなりました。Microsoft Semantic Kernelの脆弱性については、プロンプトインジェクションを経由したメモリ操作やプラグイン実行のエスカレーションが報告されており、Microsoftはパッチを公開しています。
r/netsecでは「Copilotバックドアの発見は、AIコーディングツールのサプライチェーンリスクを改めて示している」という実務的な警戒の投稿が上位を占めました。Hacker Newsでは「エージェントAIの攻撃面は従来のWebアプリと根本的に異なり、既存のセキュリティフレームワークでは対応不足」という議論が活発化し、Bruce Schneierの論考が多数引用されています。同週に報告されたStarletteのCVE-2026-48710(BadHost)やAnthropicによる中国国家支援グループの阻止事例と合わせて、AIインフラ全体のセキュリティ態勢を問い直す機運が高まっています。
エージェントAIが自律的にコードを実行し外部サービスと連携する範囲が広がるほど、攻撃者の侵入経路も多様化します。従来のCVE体制が「人間のペース」で設計されている一方、AIを悪用した攻撃は発見から悪用まで自動化・高速化が進んでいます。開発組織としては、エージェントの権限設計の最小化、ツール呼び出しの監査ログ、定期的なサプライチェーン検証の3点を優先課題として位置付けることが急務です。