シチリア産レモン

1年前に「起こり得る脅威」として列挙されたAIエージェントのリスクのほぼすべてに、実際のインシデントやベンダー勧告、CVEがひも付いたとする報告書の第2版を、OWASPが6月に公開しました。同書は「脅威はすでに現実になった」を第一の結論に据え、2025年12月公開の脅威分類「OWASP-Top-10-for-Agentic-Applications」のほぼ全カテゴリで裏付けとなる実事例が最低1件確認されたとし、扱う攻撃クラスのほぼすべての根底にプロンプトインジェクションがあるとも指摘しています。 列挙したのはOWASPのGenAIセキュリティプロジェクトによる「State-of-Agentic-AI-Security-and-Governance」の第1版(2025年7月)で、第2版は実例を集めたトラッカーと組織の成熟度モデルを新設し、主にCISO(セキュリティ統括の責任者)など統制側に向けた内容です。 【要点の整理】 ・1年分の証拠は3つの結論に集約され、第二は組織の体制。AIセーフティ(誤作動など望ましくない挙動の抑止)とAIセキュリティ(攻撃や悪用への対処)は並走する別機能のままにできないとの整理。エージェントが実システム上で動くようになると、同じ設計判断が双方の露出を生み、同じ調査が双方の原因を明らかにするという関係が根拠 ・第三は規制で、対象は10法域・42本。規制側はエージェントが人間の確認より速く被害を及ぼし得る前提に立っているとし、運用側ではEU金融規制DORAが重大インシデント分類後4時間以内の初報、EUの重要インフラ向け指令NIS2が24時間以内の早期警報、フロンティアAI(最先端モデル)の開発側ではニューヨーク州RAISE法が72時間、カリフォルニア州法SB 53が15日と、定期監査でなく常時監視を見込んだ報告期限が並ぶ ・新設の成熟度モデルは、何を動かしているかを測る採用Tier(AT0〜AT8の9段階)と、どう統制できているかを測るガバナンス成熟度のマトリクスで現状を判定し、両者が釣り合わない組み合わせには「統制を引き上げるか、展開水準を下げるか」の二択を示す設計。最下層AT0は組織が把握しないままのAI利用(シャドーAI)で、寄稿者が調べたほぼすべての組織に既に存在したとされ、ここだけは管理下への移行か遮断による排除が唯一の選択肢 ・エージェントの分類は種類・実装・構成の独立3次元と横断軸の自律性に再編。GitHub上の53プロジェクトを追跡した調査では、半自律型が57%、完全自律型が24%という分布。人間ではないエージェント自身のIDを統制の新たな要と位置づける章と、AI版SBOM(AIシステムの構成要素一覧)と出所管理の章も新設 実務面では、組織内で最も高度に動いているエージェントの特定を最初の一歩に挙げています。想定を実例で上書きする更新という点で、先日紹介したMicrosoftの失敗モード分類(約1年の実地検証を反映)とも重なる動きです。 詳細は以下を参照： https://t.co/R4PMfJ3prU

チャット応答だけでなく実際にシステム操作を行うAIエージェントについて、OWASPが「脅威はもはや理論ではなく現実の問題になった」と警告した。企業内で導入が進む中、セキュリティ事故や警告が相次ぎ、従来の管理手法では対応が難しくなっているという。 OWASPは最新版の「State of Agentic AI Security and Governance」で、2025年には仮説だったリスクが実際のインシデントとして確認され始めたと指摘した。AIエージェントはAPI呼び出しやデータ操作、メッセージ送信などを自律的に実行できるため、権限設定や統合ミスが企業システム全体へ影響を及ぼす。 報告書は、AI Safety（AIの振る舞いの安全性）とAI Security（サイバーセキュリティ）を切り離して考えることが難しくなった点も強調している。エージェントが自律的に行動する環境では、誤動作とサイバー攻撃が同じ管理基盤や監視体制に影響するためだ。 また各国の規制当局は、AIエージェントによる被害が短時間で拡大することを前提に監督体制を整備しており、継続的な監視や異常検知、自動停止機能の実装を求める傾向が強まっている。 OWASPは企業に対し、まず組織内で稼働しているAIエージェントを把握し、権限や自律性を確認することを推奨している。特に未承認の「シャドーAI」が広く利用されているとして、インベントリ管理と継続的な監視が重要だとしている。 https://t.co/G3uCdZpSTW

【AIセキュリティ・重要インフラ】Project Glasswingが150組織に拡大、1億人超に影響しうるインフラのコード脆弱性をAIで一掃へ AnthropicはProject Glasswingを大幅に拡張し、新たに約150組織をClaude Mythos Previewの利用パートナーとして追加した。4月の初期展開で約50組織が参加し、すでに高・重大深刻度の脆弱性を1万件以上発見したことを受けての拡張だ。新規参加組織は15カ国以上に分布し、電力・水道・医療・通信・ハードウェアといった初期コホートで手薄だった産業分野を多くカバーする。多数の組織が依存するコードを管理するベンダーも多く含まれており、これらへの攻撃成功は1億人以上に影響を及ぼし得るとAnthropicは試算する。 プログラムの目的は脆弱性の「発見」から「開示・修正・パッチ展開」へと重心を移しつつある。Mythos Previewはパッチ作成・リリース前チェック・ペネトレーションテスト・レガシーコードのメモリ安全な言語への書き換えにも活用が始まっており、発見した脆弱性の山を消化するためのボトルネック解消が次の課題となっている。 Anthropicが強調するのは時間的切迫感だ。6〜12ヶ月以内に他のAI企業もMythos相当の能力を持つモデルを保有する可能性があり、それらがセーフガードなしにリリースされた場合に備え、今のうちに防御側が態勢を整えることがProject Glasswingの本質的な使命だという。汎用公開に必要な強固なセーフガードの開発が完了次第、段階的に一般アクセス提供を目指すとしている。 https://t.co/ltYBBi2Bbp