エージェント型AIは、CI/CD 、内部コパイロット、カスタマーサポートワークフロー、インフラ自動化において実運用段階に進んでいます。これらのシステムはもはやモデルを呼び出すだけではありません。ユーザーや他のシステムに代わって計画を立て、決定し、委任し、行動を起こします。これにより、従来のアプリケーションセキュリティやOWASP Top 10 2025にも明確に対応できない新たな攻撃対象領域が生じます。 この課題に対処するため、OWASPは自律型アプリケーション向けOWASP Top 10(2026年版)を発表しました。これは自律型・ツール利用型・マルチエージェントシステムにおける影響度の高いリスクを重点的にまとめたリストです。
ウェブおよびソフトウェアサプライチェーンセキュリティの指針として既にOWASP Top 10 2025を活用しているチームにとって、Agentic Top 10は同じ考え方をAIエージェント、ツール、オーケストレーション、自律性に拡張するものです。
エージェントシステム向けにOWASP Top 10が別途必要な理由
オリジナルのOWASP Top 10 は、アクセス制御の不備、インジェクション、設定ミスなどのリスクに焦点を当てています 。2025年の更新版では、悪意のある依存関係 侵害されたビルドパイプラインといった現代的なサプライチェーンリスクへと範囲が拡大されました。
エージェントアプリケーションは、リスクの伝播方法を根本的に変える追加の特性を導入します。
- エージェントは、多くのステップとシステムにわたって自律的に動作します。
- 自然言語が、実行可能な指示を伝達できる入力インターフェースとなります。
- ツール、プラグイン、およびその他のエージェントは、ランタイム時に動的に構成されます。
- 状態とメモリは、セッション、ロール、テナント間で再利用されます。
これに対し、OWASPは2026年のリストで「最小エージェンシー」の概念を導入しています。その原則はシンプルです。エージェントには、安全で限定されたタスクを実行するために必要な最小限の自律性のみを付与します。
エージェントアプリケーション向けOWASP Top 10 (2026年版)
以下に、OWASPドキュメントに基づき、開発者およびセキュリティチーム向けに書かれた各カテゴリの実用的な要約を示します。
ASI01 – エージェントの目標ハイジャック
エージェントの目標ハイジャックは、攻撃者が悪意のあるテキストコンテンツを通じてエージェントの目標や決定パスを改ざんする際に発生します。エージェントは、指示とデータを確実に分離できないことがよくあります。汚染されたメール、PDF、会議の招待、RAGドキュメント、またはウェブコンテンツを処理する際に、意図しないアクションを実行する可能性があります。
例としては、内部データの持ち出しを引き起こす間接的なプロンプトインジェクション、プランニングエージェントによって取得された悪意のあるドキュメント、またはスケジュールや優先順位に影響を与えるカレンダーの招待などが挙げられます。
緩和策は、自然言語入力を信頼できないものとして扱い、プロンプトインジェクションフィルタリングを適用し、ツールの権限を制限し、目標変更や影響の大きいアクションに対して人間の承認を要求することに焦点を当てています。
ASI02 – ツールの誤用とエクスプロイト
ツールの誤用は、エージェントが正当なツールを安全でない方法で使用する際に発生します。曖昧なプロンプト、目的のずれ、または操作された入力により、エージェントが破壊的なパラメータでツールを呼び出したり、予期しない順序でツールを連鎖させたりして、データ損失や漏洩を引き起こす可能性があります。
例としては、本番システムへの書き込みが可能な過剰な権限を持つツール、MCPサーバー内の汚染されたツール記述子、または検証されていないコマンドを実行するシェルツールなどが挙げられます。
AikidoのPromptPwnd研究はこの パターンの実例である。 特定のGitHub ActionsやGitLabワークフローにおいて、信頼できないGitHubイシューやプルリクエストの内容がプロンプトに注入された。強力なツールやトークンと組み合わさることで、シークレットの漏洩やリポジトリの改変を引き起こした。
対策には、厳格なツール権限スコープ設定、サンドボックス化された実行、引数検証、および全てのツール呼び出しへのポリシー制御の追加が含まれる。
ASI03 – 識別情報と特権の悪用
エージェントは、ユーザーまたはシステムの識別情報を継承することがよくあり、これには高特権の認証情報、セッショントークン、および委任されたアクセスが含まれる場合があります。識別情報と特権の悪用は、これらの特権が意図せずに再利用、昇格、またはエージェント間で渡される場合に発生します。
例としては、エージェントメモリへのSSHキーのキャッシュ、スコープ設定なしのクロスエージェント委任、または権限の混同シナリオなどが挙げられます。
緩和策には、短期間の認証情報、タスクスコープの権限、すべてのアクションに対するポリシー強制承認、およびエージェントの分離された識別情報が含まれます。
ASI04 – エージェントサプライチェーンの脆弱性
エージェントサプライチェーンには、ツール、プラグイン、プロンプトテンプレート、モデルファイル、外部MCPサーバー、さらには他のエージェントが含まれます。これらのコンポーネントの多くは、ランタイム時に動的にフェッチされます。侵害されたコンポーネントは、エージェントの動作を変更したり、データを公開したりする可能性があります。
例としては、信頼されたツールを偽装する悪意のあるMCPサーバー、汚染されたプロンプトテンプレート、またはオーケストレーションされたワークフローで使用される脆弱なサードパーティエージェントなどが挙げられます。
緩和策には、署名付きマニフェスト、キュレーションされたレジストリ、依存関係の固定、サンドボックス化、および侵害されたコンポーネントのキルスイッチが含まれます。
ASI05 – 予期せぬコード実行
予期せぬコード実行は、エージェントがコードやコマンドを安全でない方法で生成または実行する際に発生します。これには、生成された出力によってトリガーされるシェルコマンド、スクリプト、マイグレーション、テンプレート評価、または非安全なデシリアライゼーションが含まれます。
例としては、生成されたパッチを直接実行するコードアシスタント、シェルコマンドをトリガーするプロンプトインジェクション、またはエージェントメモリシステムにおける非安全なデシリアライゼーションなどが挙げられます。
緩和策には、生成されたコードを信頼できないものとして扱い、直接評価を削除し、強化されたサンドボックスを使用し、実行前にプレビューまたはレビューのステップを要求することが含まれます。
ASI06 – メモリとコンテキストの汚染
エージェントは、メモリシステム、埋め込み、RAGデータベース、および要約に依存しています。攻撃者はこのメモリを汚染し、将来の決定や行動に影響を与えることができます。
例としては、RAGポイズニング、クロステナントコンテキストリーク、および敵対的なコンテンツへの繰り返し曝露によって引き起こされる長期的なドリフトなどが挙げられます。
緩和策には、メモリのセグメンテーション、取り込み前のフィルタリング、プロベナンス追跡、および疑わしいエントリの有効期限設定が含まれます。
ASI07 – エージェント間通信の非安全性
マルチエージェントシステムは、MCP、A2Aチャネル、RPCエンドポイント、または共有メモリを介してメッセージを交換することがよくあります。通信が認証、暗号化、または意味的に検証されていない場合、攻撃者は指示を傍受または注入することができます。
例としては、スプーフィングされたエージェントの識別情報、リプレイされた委任メッセージ、または保護されていないチャネルでのメッセージ改ざんなどが挙げられます。
緩和策には、相互TLS、署名付きペイロード、アンチリプレイ保護、および認証されたディスカバリメカニズムが含まれます。
ASI08 – カスケード障害
1つのエージェントにおける小さなエラーが、プランニング、実行、メモリ、およびダウンストリームシステム全体に伝播する可能性があります。エージェントの相互接続された性質は、障害が急速に複合する可能性があることを意味します。
例としては、幻覚を起こしたプランナーが複数のエージェントに破壊的なタスクを発行したり、展開エージェントおよびポリシーエージェントを通じて汚染された状態が伝播したりするなどが挙げられます。
緩和策には、隔離境界、レート制限、サーキットブレーカー、および多段階計画のデプロイ前テストが含まれます。
ASI09 – 人間とエージェントの信頼のエクスプロイト
ユーザーは、エージェントの推奨事項や説明を過度に信頼することがよくあります。攻撃者または不適切に調整されたエージェントは、この信頼を利用して決定に影響を与えたり、機密情報を抽出したりすることができます。
例としては、微妙なバックドアを導入するコーディングアシスタント、不正な送金を承認する金融コパイロット、またはユーザーに認証情報を開示するよう説得するサポートエージェントなどが挙げられます。
緩和策には、機密性の高いアクションに対する強制確認、不変ログ、明確なリスク指標、および重要なワークフローにおける説得力のある言葉遣いの回避が含まれます。
ASI10 – 不正なエージェント
不正エージェントとは、侵害された、または意図と異なる動作をするエージェントで、正当に見えながらも有害な行動をとります。これらは自身で行動を繰り返したり、セッションをまたいで持続したり、他のエージェントになりすましたりする可能性があります。
例としては、単一のプロンプトインジェクション後にデータ漏洩を続けるエージェント、危険なアクションを密かに承認する承認エージェント、バックアップを削除するコスト最適化ツールなどが挙げられます。
対策には、厳格なガバナンス、サンドボックス化、行動監視、およびキルスイッチが含まれます。
Aikidoの主体的リスクに関する視点
OWASP Agentic Top 10は、実際のシステムで観測されたインシデントに基づいています。OWASPトラッカーには、エージェントを介したデータ漏洩、RCE、メモリポイズニング、サプライチェーン侵害の確認された事例が含まれています。
Aikidoの研究チームは、CI/CD サプライチェーン調査においても同様のパターンが確認されている。特に以下の点が注目される:
- 脆弱性 、 Aikido Securityによって発見されたPromptPwnd脆弱性は、信頼できないGitHubイシュー、プルリクエスト、およびコミットの内容が、GitHub ActionsやGitLabワークフロー内のプロンプトに注入される可能性を示しました。過剰な権限を持つツールと組み合わせることで、実エクスプロイト が生み出されました。
- AI強化型CLIツールとアクションは、信頼できないプロンプト入力が機密トークンで実行されるコマンドにどのように影響を与えるかを示しました。
- オープンソースワークフローにおける設定ミスにより、開発者がAI駆動型自動化に意図した以上のアクセス権を与えていることが多く、時には書き込み可能なリポジトリトークンも含まれることが明らかになりました。
これらの知見はASI01、ASI02、ASI03、ASI04、およびASI05と重複する。CI/CD における主体的リスクが既に現実的な問題であることを強調している。 Aikido は、これらのパターンが進化するにつれて研究を継続して発表している。
どのように Aikido が周囲の環境を安全に保つのに役立つ
Aikidoのプラットフォームは、エージェント型ツールの導入がより安全な基盤で行われるよう、周辺環境の強化に焦点を当てています。
何 Aikido は今日
- 不安全または過度に許容的なGitHubおよびGitLabワークフロー設定(安全でないトリガーや書き込み可能なトークンなど)を特定します。これらの問題は、PromptPwndスタイルの攻撃の爆発半径を拡大させます。
- リポジトリ内の漏洩トークン、公開されたシークレット、過剰な権限を検出します。
- 依存関係におけるサプライチェーンリスクをフラグ付けします。これには、ツールやサポートコードで使用される脆弱なパッケージや侵害されたパッケージが含まれます。
- エージェント侵害の影響を増幅させる可能性のあるInfrastructure as Codeにおける設定ミスを表面化させます。
- 開発中の一般的な設定ミスを防ぐのに役立つよう、IDEでリアルタイムのフィードバックを提供します。
Aikidoの目的は、エージェントが動作するシステムのセキュリティ態勢を向上させることであり、完全なエージェント脆弱性 主張することではない。
環境をスキャンする Aikido
エンジニアリングチームがエージェント型ワークフローを検討中、あるいは既にAIをトリアージ、自動化、コード提案に活用している場合、周辺環境の強化が重要な第一歩となります。
Aikido は、これらのワークフローの安全性に直接影響する設定ミス、過剰な権限、サプライチェーンの脆弱性を特定するのに役立ちます無料で開始
無料で開始 読み取り専用スキャン無料で開始 またはデモを予約 Aikido がエージェント環境の基盤となるリスク軽減にどう貢献するかをご確認ください。
今すぐソフトウェアを保護しましょう
