あなたの好きなAIアシスタントは賢明かもしれないが、研究者たちは現在、それをコンピュータがランダムにダウンロードしたプログラムと同じように疑って扱うべきだと主張している。2026年5月にarXivに掲載された論文は、AIエージェント、特に金融取引を扱うエージェントが、より大きなシステム内において本質的に信頼できないコンポーネントとして設計される必要があると主張している。
論文「Agent Security is a Systems Problem」(arXiv:2605.18991)は、暗号資産業界がDeFi取引からウォレット操作まですべてを自律型AIエージェントに任せようとしているというタイミングで発表された。CircleのCEOであるジェレミー・アレイアは、今後3〜5年以内に数十億のAIエージェントがステーブルコインを用いて経済活動を独立して実行すると予測している。
オペレーティングシステムのアナロジー
現代のオペレーティングシステムは、個々のプロセスを信頼しません。すべてのアプリケーションは制限された権限を持つサンドボックス内で実行され、明示的に許可されたファイルのみにアクセスでき、境界を超える試みをした場合は終了されます。研究者たちは、この哲学をAIエージェントにも適用することを望んでいます。
論文は、3つの具体的な対策を提唱している。第一に、システムレベルでセキュリティ不変条件を強制すること、つまりAI自身が上書きできない硬直的なルールを設けること。第二に、最小権限のサンドボックス化を実装し、エージェントが特定のタスクに必要な最小限のリソースのみにアクセスできるようにすること。第三に、命令とデータを効果的に分離し、現在のAIシステムにおける最も危険な攻撃ベクトルの一つに対処すること。
最後の点は、聞こえる以上に重要です。プロンプトインジェクション攻撃は、AIエージェントが正当な指示と隠されたコマンドを含む悪意のあるデータを区別できないことに基づいています。エージェントが資金の転送を隠された指示で操作するトランザクションメモを処理した場合、分離の欠如が50万ドルの問題になります。
50万ドルの目覚まし時計
その数値は仮想的なものではありません。2026年4月の出来事で、AIインフラの欠陥と悪意のあるツール呼び出しにより、その正確な数量が暗号通貨ウォレットから不正に引き出されました。この攻撃は、研究者が警告している脆弱性を悪用しました。つまり、過剰なアクセス権限を持ち、呼び出したツールの検証が不十分で、資金がウォレットから流出する前に異常を検出するためのシステムレベルのガードレールが存在しなかったAIエージェントです。
これらのエージェントの自律性がリスクを高めます。フィッシングメールを受け取った人間のトレーダーは一時停止して考えますが、精心されたプロンプトインジェクションを受け取ったAIエージェントはマシン速度で実行し、監視システムが対応する前に資産を引き抜く可能性があります。
ハードウェアおよびガバナンス対応
いくつかの企業は、この論文が推奨する方向に既に動き出しています。Ledgerは、AIエージェント環境に特化したハードウェアセキュリティ施策を含む2026年のセキュリティロードマップを策定しています。そのロジックは明確です。ソフトウェア層を完全に信頼できない場合、AIの行動とは無関係な暗号学的保証を提供するハードウェアに重要な操作を固定します。
論文がこれを「モデルの問題」ではなく「システムの問題」として扱うことを推奨していることは、意味のある区別である。これは、責任をAI開発者だけでなく、インフラ提供者、プロトコル設計者、プラットフォーム運営者というより広範なエコシステムに移すことを意味する。
これは投資家にとって何を意味するか
AIエージェントの行動に対する検証可能な計算、オンチェーンでの行動証明、および必須の最小権限アクセス制御を実装するプロトコルに注目してください。これらの機能は、今後12〜18ヶ月以内に機関向けAIエージェントプラットフォームの必須要件となる可能性があります。