AIエージェントは、ソフトウェアを検証済みのユーザー構築システムに変えることで、アプリ時代に終止符を打つ可能性がある
AIエージェントは、見知らぬ人が書いたコードを実行することを、後世の世代が処理しきれない行動の一つにするかもしれない。
社会は数十年にわたりリスクを普通のこととして受け入れた後、より安全なデフォルトが利用可能になると、それを無謀だと再分類することがある。
運転前の飲酒、シートベルト未着用、室内での喫煙、インターネットからの不審なバイナリのインストールは、すべて同じ種類の歴史的な盲点に属する。共通点は社会的な許容である。
代替手段が高価で不便、または技術的に利用できない場合、その行動は継続される。より安全な道が安価で一般的になると、古い道は非合理的に見えるようになる。
AIエージェントはソフトウェアの信頼モデルの弱点を露呈する
現代のソフトウェアは、私たちがめったに検討しない条件の上で動作しています。開発者、企業、財団、または匿名のメンテナーがコードを書きます。配布チャネルがそれをパッケージ化します。ユーザー、企業、またはオペレーティングシステムがそれを実行します。
セキュリティは、その決定の結果を管理するための層状の試みとなります。
権限、コード署名、アプリストア、エンドポイント検出、サンドボックス化、ベンダーのデューデリジェンス、およびインシデント対応は、すべて核心的な行為が依然として危険であるため存在します:あなたのマシン上で、あなたの口座内で、あなたのデータにアクセスしながら、他人の指示を実行すること。
その信頼モデルは機関規模で失敗した。SolarWindsの侵害は、信頼されたソフトウェア構築プロセスに挿入された悪意のあるコードが通常のアップデートを通じて配布され、複数の地域の政府機関、テクノロジー企業、通信ネットワーク、その他のターゲットに到達する可能性があることを示した。
運用上の教訓は構造的であり、攻撃面はベンダーの正当性そのものであった。
ビルドプロセスが侵害された後、通常の信頼の兆候は攻撃の配信インフラとなりました。
同じパターンがXZ Utilsのバックドアでも見られ、CISAは2024年3月に、Linuxディストリビューション全体に存在する圧縮ライブラリのバージョン5.6.0および5.6.1に悪意のあるコードが埋め込まれていると警告しました。
National Vulnerability Databaseは、隠されたテストファイルとビルドプロセスの操作により、リンクされたソフトウェアでのデータやり取りを傍受・変更できるように改変されたliblzmaライブラリが生成されたと後に説明した。
ソフトウェアサプライチェーンは、ユーザーからはるかに上流で侵害され、通常のように見えるチャネルを通じて到達することがあります。これは暗号通貨では数え切れないほどDNSやJavaScript npmの攻撃で見られてきました。
業界の対応として、より強化されたプロセスが導入されています。NIST Secure Software Development Frameworkは、リスクを軽減したソフトウェアの構築および調達のため、組織に共通の実践手法を提供します。
SLSAフレームワークは、証明情報、整合性、改ざん耐性をアーティファクトパイプラインに組み込みます。これらの制御は必須です。
彼らはまた、現在のモデルの限界を明らかにしています。企業は、どの外部コードを信頼に値するかを決定するための方法を継続的に改善しています。
次のモデルは、まったく信頼が必要な外部コードの数量を削減します。
その変化は、ソフトウェアの社会的意味を変える。今日、サードパーティのコードは、セキュリティのオーバーヘッドを伴う生産性資産として扱われている。
明日、それは説明を要する負債として扱われる可能性があります。ユーザーのデフォルトの質問は、「どのアプリをインストールすべきか?」から、「私のエージェントが機能を構築できるのに、なぜ他の人のアプリを実行すべきでしょうか?」に移行します。
それは本当の亀裂です。ソフトウェアは主に市場から選択される製品ではなく、ユーザーが制御する実行環境内で需要に応じて生成される出力となります。
エージェントが構築したソフトウェアが、アプリを意図の使い捨て表現に変換します
進行方向はコーディングエージェントに見られる。OpenAI Codexは、複数のタスクを並行して処理できるクラウドベースのソフトウェアエンジニアリングエージェントとして導入された。
Claude Code by Anthropicは、コードベースをマッピングし、ファイルを変更し、テストを実行してコミット済みのコードを提供するエージェント型コーディングシステムです。
GitHubのCopilotコーディングエージェントは、同じパターンをGitHubワークフローに移動させ、課題とプルリクエスト全体で非同期で作業を行いました。
Google Julesは同様の方向性を示しています:製品のコンテキストを吸収し、ソリューションを生成してプルリクエストを提出する自律的なコーディングエージェントです。
これらの製品はまだ開発者ツールとして位置づけられていますが、その枠組みは時間とともに狭まっていきます。Codexについては、すでにそうなりています。OpenAIは先月、コードやターミナルではなく「チャット」や出力に焦点を当てたUIオプションを導入しました。
より大きな変化は、ソフトウェアの作成が個人的な委任の行為 becoming になっていることです。ユーザーがワークフローを記述すると、エージェントがインターフェース、ロジック、統合、テスト、実行パスを生成します。
このアーティファクトは1時間、1週間、または1年持続する可能性があります。新しいコンテキストのために再生成、フォーク、制約、監査、破棄、または再構築が可能です。
アプリは永続的なオブジェクトというより、利用可能なインターフェースにコンパイルされたローカルポリシーに近くなります。
これは信頼に即座に影響を与えます。ユーザーは他の人のアプリケーションを観察し続けることができます。ワークフロー、インターフェースパターン、データスキーマ、プロンプト、自動化、サービス統合を検査することも可能です。しかし、観察は実行とは別物であり続けます。
ユーザーはアイデアをコピーし、自身のルールに従う環境内で個人エージェントにその機能を最初から再構築させることができます。価値はコンパイル済みのアーティファクトからパターンへ移行します。
配布は、実行可能コードの配送から、意図、設計、証明、スキーマ、およびAPIの期待値の公開へと移行しています。
暗号通貨はブランドではなく、認証を通じて議論に登場します。ユーザーのエージェントは依然として外部サービスに接続します。
支払いレール、アイデンティティシステム、市場データエンドポイント、ストレージレイヤー、AIモデルプロバイダー、コンピュートマーケット、メッセージングシステム、コンプライアンスサービスを呼び出す可能性があります。信頼の境界は、それらのエンドポイントおよびそれらに関する主張に移行します。
ユーザーは、監査可能性、出所、セキュリティ姿勢、経済的整合性に基づいて外部サービスを評価する方法を必要とします。検証可能な環境内で構築されたサービスは、企業プラットフォームが制御するブラックボックスエンドポイントとは異なるスコアリングされます。
検証可能なエンドポイントが新しいソフトウェア配布レイヤーとなる
ゼロ知識システムは、そのランキング層への一つの道を提供します。ZK rollupsは、計算をオフチェーンで実行しつつ、簡潔な証明によってチェーン上で生じる状態遷移の妥当性を検証する方法を示しています。
同じ概念的なパターンは、トランザクションのスケーリングを超えて拡張できます。ユーザーは、エンドポイントが承認されたコードを実行し、定義された制約の下でデータを処理し、プライバシーの境界を維持し、特定の監査済みビルドから結果を生成したことを証明したいと考えるかもしれません。
証明は、個人エージェントと外部依存関係間の信頼のギャップを狭めながら、内部の機密性を維持できます。
長期的なインターフェースは、エージェント制御のオペレーティングレイヤーに似ている可能性があります。ユーザーはダッシュボード、ポートフォリオツール、リサーチアシスタント、パブリッシングシステム、個人用CRM、会計ワークフロー、またはセキュリティモニターを要求します。
エージェントは生成されたコードとランク付けされたエンドポイントからそれを組み立てます。コードはエージェントが作成したため、確認可能です。
依存関係は、エージェントがポリシーに基づいて選択したため制約されています。実行環境は、ユーザーが要件として選択したため監査可能です。
ユーザーは依然としてネットワーク化された経済に参加しています。支配は個人に近づいています。
この移行の最終形態は、検証可能な関数、エージェント生成クライアント、およびランク付けされた外部サービスの市場です。サードパーティ開発者は依然として存在しますが、その役割は変化します。
彼らはプロトコル、API、テンプレート、証明、モデル、コンポーネント、およびリファレンス実装を公開します。ユーザーは独自のバージョンを実行します。
企業は依然として存在しており、その優位性は配布の制御から信頼性の証明へと移行している。オープンソースコミュニティも依然として存在しており、ユーザーがメンテナーを信頼することへの負担は、エージェントに安全に再構築できる十分な構造化された情報を提供することへと移っている。
古いソフトウェア経済は完成したアプリケーションを販売していた。新しい経済は信頼できる能力を販売している。
ポートフォリートラッカーは、市場データエンドポイント、ウォレット権限、税務ロジック、およびレポートルールの上に生成されたインターフェースとなる。パブリッシングシステムは、アイデンティティ、編集、コンテンツ管理、分析、および配信APIの上に生成されたワークフローとなる。
研究ターミナルは、データベース、モデル呼び出し、由来チェック、およびプライベートノートから生成されるサーフェスになります。いずれの場合も、ユーザーのエージェントが構成を処理します。
外部の世界は検証可能なリソースを提供します。その変動幅は、すべてのインフラプロバイダーに対して商業的なテストを生み出します:主張を証明し、インターフェースを公開し、制約セットを明示し、ユーザー側エージェントがそのサービスを含める価値があるかどうかを判断できるようにします。
中央分断は、プライベートなソフトウェア主権と管理された利便性との対立となる
通常の議論は、未来をローカルとクラウドの対比で捉える。この分断はインフラの問題の一部を捉えているが、政治経済を見落としている。
プライベートシステムは、ユーザー定義の制約のもとでクラウドコンピューティングを利用できます。コーポレートシステムはローカルで実行しつつ、アイデンティティ、インセンティブ、権限、収益化をベンダーが制御するスタック内に閉じ込めることができます。
より耐久性のある分割は、プライベートと法人の間です。誰がアプリを定義しますか?
誰がそのアクセス権を決定しますか?テレメトリは誰に送信されますか?
アップグレードパスは誰が設定しますか?機能を無効にできるのは誰ですか?
ユーザーの依存から誰が恩恵を受けるのか?
その分離は、エージェントソフトウェアが一般ユーザーにとって十分に安価になると、より明確になります。その一方の道は、個人のソフトウェア主権へと導きます。
ユーザーは、必要なツールを構築し再構築するエージェントを管理します。ユーザーは、証明、コスト、信頼性、プライバシー、整合性に基づいてエンドポイントプロバイダーを選択します。
彼らはインターフェースを放棄しながら、下層のワークフローを維持できます。彼らは一つのエンドポイントから別のエンドポイントに移行できます。
古いクライアントが侵害されたり、捕捉されたり、非効率になった場合、新しいクライアントを生成できます。ユーザーが意図を所有しているため、ソフトウェア層は移植可能になり、エージェントは実装を再現できます。
もう一つの道は、管理された利便性へと向かいます。企業プラットフォームは、補助されたアプリ、統合されたアイデンティティ、クレジット、支払い、ストレージ、AIアクセス、デフォルトのワークフローを提供します。
その一部は役立つでしょう。一部は経済的な強制となるでしょう。
AI駆動の豊かさが公共または民間のUBI関連の収入スキーム、コンピュートクレジット、トークン配布、またはプラットフォーム連携のメリットを生み出す場合、配布インフラはソフトなロックインメカニズムとなる可能性があります。ユーザーは、彼らが実行するソフトウェアやデータの移動方法、および彼らに代わって行動できるエージェントを定義するエコシステムを通じてサービスへのアクセスを受けることになります。
UBIレイヤーは、その問題の最も敏感なバージョンである。サム・アルトマンは、所得分配に関するAI時代の議論と長く関連付けられており、Worldcoinは、個人性の証明とUBIのような配分の可能性を軸に位置づけられた。
より広い視点では、これは一つのプロジェクト以上の問題です。経済的支援、本人確認、計算リソースへのアクセス、ソフトウェアの権限が重なると、参加は自発的に見えて、条件付きになる可能性があります。
ユーザーは理論的にはオプトアウトの自由があるが、実際には管理されたアプリケーション層へと促される可能性がある。
利便性が主要な戦場となる。企業のスタックは、摩擦の少ない体験でユーザーを獲得する。
洗練されたデフォルト設定、即時アクセス、統合されたAI、ソーシャル互換性、復旧フロー、コンプライアンス対応、および報酬を提供します。プライベートスタックは、使いやすい形での自律性というより難しい点で競争する必要があります。
ユーザーが技術的な管理を避けながらより多くの責任を受け入れる理由を提供しなければなりません。個人エージェントは、以前は実用的ではなかった主権の複雑さを吸収できるため、決定的になります。
次のテストは、ユーザーが生成された信頼をパッケージ化された利便性よりも選ぶかどうかである
一次的なリスクは、ユーザーがそのコストを理解する前に、利便性のためにコントロールを手放すことである。二次的なリスクは、その取引が補助され、常態化し、最終的に経済生活へのアクセスに必須となることである。
福利を束ねて受け入れる人々にとって、企業アプリがデフォルトの環境となる可能性があります。自ら支払い、認証、設定、またはソフトウェア層を自己保管する意欲のある人々にとっては、プライベートに生成されたアプリがデフォルトとなる可能性があります。
それは実行制御に関する新たな階級分断を生み出します。問題は、エージェント型AIがその分断を縮めるか、それとも深めるかです。
その移行は不均等になります。規制された分野はより遅く移行します。
企業はコンプライアンスの観点からアプリエコシステムを守るでしょう。プライベートな代替手段が不安定に感じられる限り、消費者はデフォルトの利便性を選び続けます。
攻撃者はエージェント、プロンプト、依存関係の選択、モデルのサプライチェーン、エンドポイントの認証を標的にするでしょう。検証システムは、少数の証明機関、クラウドプラットフォーム、またはモデルベンダーに制御された場合、新たなボトルネックを生み出します。
ユーザーが確認、移行、取り消しできる限り、個人のソフトウェア主権は別のブランド主張に過ぎない。
しかし、次のテストの方向性は明確である。自分自身のエージェントが必要なもののほとんどを構築できるようになったとき、人々は主権よりも利便性を受け入れるだろうか。
今日の答えは、代替案が依然として過剰に要求されるため、ほぼイエスです。明日の答えは、より不確実になります。
作業可能なアプリを生成し、その権限を制限し、依存関係を監査し、ランキング済みのエンドポイントのみに接続し、状況が変化したときに再構築できるユーザーは、企業向けソフトウェアバンドルの実質的な代替手段を持っています。
その代替案は最初は不自然に感じるでしょう。その後、賢明に感じられるようになります。
その後、お金、身元、健康データ、プライベートな通信、研究、またはビジネス運用を扱う誰にとっても、それがデフォルトの期待となる可能性があります。利便性が優勢になり、補助金が選択を歪め、ユーザーが経済的アクセスの代わりに管理された環境を受け入れる場合、不透明なサードパーティのコードが生き残ります。
エージェントがプライベートな生成ルーチンを実行する場所では、それは薄れるでしょう。
社会的な再分類はゆっくりと、そして突然起こる。古い習慣は、新しいデフォルトが明らかになるまで馴染み深いまま続く。
ユーザーが自らのエージェントにアプリケーションの構築、実行パスの検証、認証済みエンドポイントへの接続を依頼できるようになれば、説明の負担は逆転する。他の人のコードを実行する側が理由を示す必要がある。
エージェントを通じて構築するユーザーは、より安全なデフォルト設定を使用することになります。ただし、マトリックスに接続し続けているユーザーに与えられる企業のインセンティブを逃す可能性もあります。
投稿 アプリの時代は終わりを迎える:ソフトウェアの最終形態は、プライベートで、パーソナルで、検証済み、AIエージェントが構築するものになる は、CryptoSlate で最初に公開されました。