セキュリティ研究者が、AIエージェントの記憶に偽の情報を植え付け、複数セッションにわたって休眠状態を保ちながら攻撃者の指定した行動を誘発する「スリーパーメモリポイズニング」攻撃を実証しました。全エージェントの47%しかモニタリングされていないという統計とあわせ、本番環境に導入済みのエージェントシステムに深刻な懸念が広がっています。
スリーパーメモリポイズニングの最大の特徴は、攻撃が即座に実行されないことです。攻撃者はまずAIエージェントの長期記憶(ベクターDB等)に偽情報を埋め込み、特定の条件(キーワード、日時、ユーザー操作など)が揃うまで悪意ある行動を休眠させます。従来のセキュリティ監視ツールは「今起きている異常」を検知する設計が多く、遅延トリガーを用いた攻撃の検出が極めて難しいのが実態です。
さらに研究者は、エージェント間連携(マルチエージェント)システムを標的にした高度な手法も報告しています。ヤコビアン勾配法を用いて、エージェント間のメッセージフロー中で「最も影響力の大きいメッセージ」を数学的に特定し、そこに悪意ある情報を注入するというものです。単一エージェントへの攻撃より複雑なため、対策も難しくなっています。
X上では「遅延トリガーにより攻撃元の追跡が極めて困難」という点がセキュリティ専門家の間で最大の懸念点として共有され、「エージェントAIを本番導入している企業は今すぐ監査すべき」という警告が広まりました。Redditでは「全エージェントの47%しかモニタリングされていない」という統計が衝撃的に受け止められ、エージェントのセキュリティ承認プロセスの義務化を求める声も出ています。
対策の出発点は、AIエージェントが参照する記憶・知識ベースへの書き込み権限の厳格化です。外部入力(ユーザーメッセージ、ウェブ検索結果、外部ドキュメント)から記憶への直接書き込みは禁止し、承認フローを通じた手動確認を義務付けることが推奨されます。エージェントAIの導入が本格化する2026年後半に向け、「エージェントセキュリティ」は急速に重要な専門領域として確立されつつあります。