エージェンティックAIは、CI/CDパイプライン、社内コパイロット、顧客サポートワークフロー、インフラ自動化において本番環境に導入されつつあります。これらのシステムはもはや単にモデルを呼び出すだけではありません。ユーザーや他のシステムに代わって、計画、決定、委任、および行動を実行します。これにより、従来のアプリケーションセキュリティやOWASP Top 10 2025には明確にマッピングされない新たな攻撃対象領域が生まれます。これに対処するため、OWASPは自律型、ツール利用型、マルチエージェントシステムにおける最も影響の大きいリスクに焦点を当てたリストであるOWASP Top 10 for Agentic Applications (2026)を公開しました。
ウェブおよびソフトウェアサプライチェーンセキュリティの指針としてすでにOWASP Top 10 2025を使用しているチームにとって、Agentic Top 10はAIエージェント、ツール、オーケストレーション、および自律性にも同じ考え方を拡張します。
エージェントシステム向けにOWASP Top 10が別途必要な理由
元のOWASP Top 10は、アクセス制御の失敗、インジェクション、設定ミスなどのリスクに焦点を当てています。2025年のアップデートでは、悪意のある依存関係や侵害されたビルドパイプラインなどの現代のサプライチェーンリスクに拡大されました。
エージェントアプリケーションは、リスクの伝播方法を根本的に変える追加の特性を導入します。
- エージェントは、多くのステップとシステムにわたって自律的に動作します。
- 自然言語が、実行可能な指示を伝達できる入力インターフェースとなります。
- ツール、プラグイン、およびその他のエージェントは、ランタイム時に動的に構成されます。
- 状態とメモリは、セッション、ロール、テナント間で再利用されます。
これに対し、OWASPは2026年のリストで「最小エージェンシー」の概念を導入しています。その原則はシンプルです。エージェントには、安全で限定されたタスクを実行するために必要な最小限の自律性のみを付与します。
エージェントアプリケーション向けOWASP Top 10 (2026年版)
以下に、OWASPドキュメントに基づき、開発者およびセキュリティチーム向けに書かれた各カテゴリの実用的な要約を示します。
ASI01 – エージェントの目標ハイジャック
エージェントの目標ハイジャックは、攻撃者が悪意のあるテキストコンテンツを通じてエージェントの目標や決定パスを改ざんする際に発生します。エージェントは、指示とデータを確実に分離できないことがよくあります。汚染されたメール、PDF、会議の招待、RAGドキュメント、またはウェブコンテンツを処理する際に、意図しないアクションを実行する可能性があります。
例としては、内部データの持ち出しを引き起こす間接的なプロンプトインジェクション、プランニングエージェントによって取得された悪意のあるドキュメント、またはスケジュールや優先順位に影響を与えるカレンダーの招待などが挙げられます。
緩和策は、自然言語入力を信頼できないものとして扱い、プロンプトインジェクションフィルタリングを適用し、ツールの権限を制限し、目標変更や影響の大きいアクションに対して人間の承認を要求することに焦点を当てています。
ASI02 – ツールの誤用とエクスプロイト
ツール誤用は、エージェントが正当なツールを安全でない方法で使用する場合に発生します。曖昧なプロンプト、不整合、または操作された入力により、エージェントが破壊的なパラメータでツールを呼び出したり、データ損失やデータ流出につながる予期せぬシーケンスでツールを連鎖させたりする可能性があります。
例としては、本番システムに書き込み可能な過剰な権限を持つツール、MCPサーバー内の汚染されたツール記述子、または未検証のコマンドを実行するシェルツールなどがあります。
AikidoのPromptPwndリサーチは、このパターンの実際の例です。信頼できないGitHubのIssueまたはプルリクエストのコンテンツが、特定のGitHub ActionsおよびGitLabワークフローのプロンプトに注入されました。強力なツールやトークンと組み合わせることで、シークレットの漏洩やリポジトリの改変につながりました。
緩和策には、厳格なツール権限スコープ設定、サンドボックス実行、引数検証、およびすべてのツール呼び出しへのポリシー制御の追加が含まれます。
ASI03 – 識別情報と特権の悪用
エージェントは、ユーザーまたはシステムの識別情報を継承することがよくあり、これには高特権の認証情報、セッショントークン、および委任されたアクセスが含まれる場合があります。識別情報と特権の悪用は、これらの特権が意図せずに再利用、昇格、またはエージェント間で渡される場合に発生します。
例としては、エージェントメモリへのSSHキーのキャッシュ、スコープ設定なしのクロスエージェント委任、または権限の混同シナリオなどが挙げられます。
緩和策には、短期間の認証情報、タスクスコープの権限、すべてのアクションに対するポリシー強制承認、およびエージェントの分離された識別情報が含まれます。
ASI04 – エージェントサプライチェーンの脆弱性
エージェントサプライチェーンには、ツール、プラグイン、プロンプトテンプレート、モデルファイル、外部MCPサーバー、さらには他のエージェントが含まれます。これらのコンポーネントの多くは、ランタイム時に動的にフェッチされます。侵害されたコンポーネントは、エージェントの動作を変更したり、データを公開したりする可能性があります。
例としては、信頼されたツールを偽装する悪意のあるMCPサーバー、汚染されたプロンプトテンプレート、またはオーケストレーションされたワークフローで使用される脆弱なサードパーティエージェントなどが挙げられます。
緩和策には、署名付きマニフェスト、キュレーションされたレジストリ、依存関係の固定、サンドボックス化、および侵害されたコンポーネントのキルスイッチが含まれます。
ASI05 – 予期せぬコード実行
予期せぬコード実行は、エージェントがコードやコマンドを安全でない方法で生成または実行する際に発生します。これには、生成された出力によってトリガーされるシェルコマンド、スクリプト、マイグレーション、テンプレート評価、または非安全なデシリアライゼーションが含まれます。
例としては、生成されたパッチを直接実行するコードアシスタント、シェルコマンドをトリガーするプロンプトインジェクション、またはエージェントメモリシステムにおける非安全なデシリアライゼーションなどが挙げられます。
緩和策には、生成されたコードを信頼できないものとして扱い、直接評価を削除し、強化されたサンドボックスを使用し、実行前にプレビューまたはレビューのステップを要求することが含まれます。
ASI06 – メモリとコンテキストの汚染
エージェントは、メモリシステム、埋め込み、RAGデータベース、および要約に依存しています。攻撃者はこのメモリを汚染し、将来の決定や行動に影響を与えることができます。
例としては、RAGポイズニング、クロステナントコンテキストリーク、および敵対的なコンテンツへの繰り返し曝露によって引き起こされる長期的なドリフトなどが挙げられます。
緩和策には、メモリのセグメンテーション、取り込み前のフィルタリング、プロベナンス追跡、および疑わしいエントリの有効期限設定が含まれます。
ASI07 – エージェント間通信の非安全性
マルチエージェントシステムは、MCP、A2Aチャネル、RPCエンドポイント、または共有メモリを介してメッセージを交換することがよくあります。通信が認証、暗号化、または意味的に検証されていない場合、攻撃者は指示を傍受または注入することができます。
例としては、スプーフィングされたエージェントの識別情報、リプレイされた委任メッセージ、または保護されていないチャネルでのメッセージ改ざんなどが挙げられます。
緩和策には、相互TLS、署名付きペイロード、アンチリプレイ保護、および認証されたディスカバリメカニズムが含まれます。
ASI08 – カスケード障害
1つのエージェントにおける小さなエラーが、プランニング、実行、メモリ、およびダウンストリームシステム全体に伝播する可能性があります。エージェントの相互接続された性質は、障害が急速に複合する可能性があることを意味します。
例としては、幻覚を起こしたプランナーが複数のエージェントに破壊的なタスクを発行したり、展開エージェントおよびポリシーエージェントを通じて汚染された状態が伝播したりするなどが挙げられます。
緩和策には、隔離境界、レート制限、サーキットブレーカー、および多段階計画のデプロイ前テストが含まれます。
ASI09 – 人間とエージェントの信頼のエクスプロイト
ユーザーは、エージェントの推奨事項や説明を過度に信頼することがよくあります。攻撃者または不適切に調整されたエージェントは、この信頼を利用して決定に影響を与えたり、機密情報を抽出したりすることができます。
例としては、微妙なバックドアを導入するコーディングアシスタント、不正な送金を承認する金融コパイロット、またはユーザーに認証情報を開示するよう説得するサポートエージェントなどが挙げられます。
緩和策には、機密性の高いアクションに対する強制確認、不変ログ、明確なリスク指標、および重要なワークフローにおける説得力のある言葉遣いの回避が含まれます。
ASI10 – 不正なエージェント
不正エージェントとは、侵害された、または意図と異なる動作をするエージェントで、正当に見えながらも有害な行動をとります。これらは自身で行動を繰り返したり、セッションをまたいで持続したり、他のエージェントになりすましたりする可能性があります。
例としては、単一のプロンプトインジェクション後にデータ漏洩を続けるエージェント、危険なアクションを密かに承認する承認エージェント、バックアップを削除するコスト最適化ツールなどが挙げられます。
対策には、厳格なガバナンス、サンドボックス化、行動監視、およびキルスイッチが含まれます。
Aikidoのエージェントリスクに関する視点
OWASP Agentic Top 10は、実際のシステムで観測されたインシデントに基づいています。OWASPトラッカーには、エージェントを介したデータ漏洩、RCE、メモリポイズニング、サプライチェーン侵害の確認された事例が含まれています。
Aikidoの調査チームは、CI/CDおよびサプライチェーンの調査において同様のパターンが出現するのを確認しています。特に:
- PromptPwnd脆弱性クラスは、Aikido Securityによって発見され、信頼できないGitHubのIssue、プルリクエスト、コミットコンテンツがGitHub ActionsおよびGitLabワークフロー内のプロンプトにどのように注入されうるかを示しました。過剰な権限を持つツールと組み合わせることで、これは実用的なエクスプロイトパスを生み出しました。
- AI強化型CLIツールとアクションは、信頼できないプロンプト入力が機密トークンで実行されるコマンドにどのように影響を与えるかを示しました。
- オープンソースワークフローにおける設定ミスにより、開発者がAI駆動型自動化に意図した以上のアクセス権を与えていることが多く、時には書き込み可能なリポジトリトークンも含まれることが明らかになりました。
これらの発見は、ASI01、ASI02、ASI03、ASI04、ASI05と重複しています。CI/CDと自動化におけるエージェントリスクがすでに実用的であることを強調しています。Aikidoは、これらのパターンが進化するにつれて研究を発表し続けています。
Aikidoが周辺環境のセキュリティ確保にどのように役立つか
Aikidoのプラットフォームは、エージェントツールの導入がよりセキュアな基盤の上で行われるように、周囲の環境を強化することに焦点を当てています。
Aikidoが今日行っていること
- 不安全または過度に許容的なGitHubおよびGitLabワークフロー設定(安全でないトリガーや書き込み可能なトークンなど)を特定します。これらの問題は、PromptPwndスタイルの攻撃の爆発半径を拡大させます。
- リポジトリ内の漏洩したトークン、公開されたシークレット、および過剰な権限を検出します。
- ツールやサポートコードによって使用される脆弱性のある、または侵害されたパッケージを含む、依存関係におけるサプライチェーンリスクを特定します。
- エージェント侵害の影響を増幅させる可能性のあるInfrastructure as Codeにおける設定ミスを表面化させます。
- 開発中の一般的な設定ミスを防ぐのに役立つよう、IDEでリアルタイムのフィードバックを提供します。
Aikidoの目標は、エージェントが動作するシステムのセキュリティ態勢を改善することであり、エージェントによる脆弱性カバレッジの完全性を主張することではありません。
Aikidoで環境をスキャン
エンジニアリングチームがエージェントワークフローを検討している、またはすでにAIをトリアージ、自動化、コード提案に利用している場合、周囲の環境を強化することが重要な第一歩です。
Aikidoは、これらのワークフローの安全性に直接影響を与える設定ミス、過剰な権限、サプライチェーンの脆弱性を特定するのに役立ちます。
読み取り専用スキャンで無料で開始するか、デモを予約して、Aikidoがエージェント環境を形成する根本的なリスクをどのように軽減できるかをご確認ください。
