AIエージェントセキュリティ:本番エージェントフリートの脅威モデル
すべてのAIエージェントフレームワークは、エージェントを構築するツールを提供します。それらを抑え込むツールを提供するものは、ほとんどありません。エージェントがAPIを呼び出し、Webを閲覧し、コードを実行し、データベースにアクセスできるとき、セキュリティの問題は何かが間違いを起こすかどうかではなく — 起こったときの影響範囲がどう見えるかです。
AIエージェントセキュリティとは、侵害された、誤設定された、または挙動不良のエージェントがクレデンシャルを漏洩したり、データを持ち出したり、予算を枯渇させたり、特権をエスカレートしたりできないように自律エージェントを制約する実践のことです。OpenLegionはこれを付加機能ではなくコアアーキテクチャ上の関心事として扱います。すべてのエージェントは、ボルトプロキシ経由のクレデンシャル、エージェント単位の予算制御、パーミッションマトリックスを備えた隔離コンテナで実行されます — すべてデフォルトで有効です。
LLM APIキーは持ち込みOK。モデル利用にマークアップはありません。
AIエージェントセキュリティとは?
AIエージェントセキュリティは、自律AIエージェントが害を引き起こすのを防ぐ制御を包含します — クレデンシャル漏洩、プロンプトインジェクション、リソース乱用、データ持ち出し、過剰な権限のいずれであっても。ランタイム隔離、クレデンシャル管理、コスト強制、パーミッション制御、入力検証をインフラレベルで適用することを含みます。
TL;DR
- 脅威は現実です。 研究によれば、AI展開を行う組織の77%が2024年にセキュリティインシデントを経験しました。AIセキュリティ対策に自信があるのは5%だけです。
- 4つの主要な脅威:クレデンシャル漏洩、プロンプトインジェクション、リソース乱用(ウォレット拒否)、データ持ち出し。それぞれに異なる緩和策が必要です。
- 組み込みセキュリティを提供する主要フレームワークはありません。 公開ドキュメントに基づくと、LangGraph、CrewAI、AutoGen、OpenClawはすべてクレデンシャルに環境変数を使用し、ネイティブな隔離や予算強制を持ちません。
- OpenLegionの6層防御:コンテナ隔離、コンテナハードニング、クレデンシャル分離(ボルトプロキシ)、パーミッション強制、入力検証、Unicodeサニタイゼーション — すべてデフォルトで有効。
- BYOキーでも安全なAIエージェントは可能 — ボルトプロキシモデルにより、キーは信頼ゾーンに留まり、エージェントは生のシークレットを決して露出させないプロキシを介してやり取りします。
AIエージェントの脅威モデル
脅威1:クレデンシャル漏洩
何が起こるか。 環境変数、設定ファイル、コンテキスト内渡しなどでAPIキーにアクセスできるエージェントが、プロンプトインジェクション、ロギング、エラーメッセージ、悪意あるツール呼び出しを通じてそれらのキーを漏洩します。
どの程度一般的か。 2026年初頭に発表された研究では、スキャンされた3,984のエージェントスキルのうち283(7.1%)が重大なクレデンシャル処理上の欠陥を含み、APIキーやパスワードをLLMコンテキストに平文で渡していました。別途、76のスキルがクレデンシャル盗難用に意図的に設計された悪意あるペイロードを含んでいました。注目を集めた事例には、xAI従業員がGitHubにAPIキーを漏洩し、60+の非公開LLMへ2か月間アクセス可能になった件や、人気LLMプラットフォームの脆弱性が認証なしのエンドポイント経由でAPIキーを露出させた件があります。
OpenLegionの緩和策。 OpenLegionはボルトプロキシ経由のクレデンシャルを使用します。APIキーはMesh Host(ゾーン2)に保管されます。エージェントが外部APIを呼び出す必要があるとき、リクエストはボルトプロキシを経由してルーティングされ、プロキシがネットワーク層でクレデンシャルを注入します。エージェントは生のキーを見ず、ログに残さず、メモリアクセスもしません。完全に侵害されたエージェントでも、クレデンシャルはエージェントのコンテナに存在しないため抽出できません。
脅威2:プロンプトインジェクション
何が起こるか。 攻撃者がエージェントが処理するコンテンツ — Webページ、文書、メール、データベースレコード、ユーザー入力 — に悪意ある指示を埋め込みます。エージェントは意図されたタスクの代わりに(または加えて)注入された指示に従います。
どの程度一般的か。 プロンプトインジェクションは、セキュリティ監査中に評価された本番AI展開の73%以上で見られます。OpenAIは2025年12月、プロンプトインジェクションは「完全に解決されることはないだろう」と述べました。OWASPはこれをLLMアプリケーションの脆弱性ランキングで第1位に位置づけています。実世界の事例には、Webページ上の隠された指示経由で150秒以内にクレデンシャルを盗むよう騙されたブラウザエージェントや、公開文書内の悪意あるコンテンツがエージェントに専有データを漏洩させたエンタープライズRAGシステムがあります。
OpenLegionの緩和策。 OpenLegionは複数層にわたって多層防御を適用します。Unicodeサニタイゼーションが、LLMコンテキストに到達する前に56のチョークポイントで不可視文字(双方向オーバーライド、タグ文字、ゼロ幅文字)を除去します — これらの文字は注入された指示を隠すために一般的に使われます。入力検証がパストラバーサルを防ぎ、安全な条件評価を強制します。コンテナ隔離が影響範囲を限定:エージェントが注入に成功されても、自身のスコープ付きパーミッションを持つ自身のサンドボックスコンテナにしかアクセスできません。他のエージェントのデータ、クレデンシャルボルト、ホストシステムにはアクセスできません。
プロンプトインジェクションに対する完全な耐性を保証できるシステムはありません。OpenLegionのアプローチは、攻撃面を最小化し、被害を封じ込めることです。
脅威3:リソース乱用(ウォレット拒否)
何が起こるか。 エージェントが再帰ループに入り、過剰なAPI呼び出しを行い、必要なものをはるかに超えるリソースを消費するよう操られます。マルチエージェントシステムでは、これが累積します — 5エージェントワークフローは単一エージェントの5倍のコストになり、暴走ループは誰も気づく前に数分で数百ドルを焼き尽くす可能性があります。
どの程度一般的か。 これはOWASP LLM10:2025(無制限消費)として記載されています。ほとんどのクラウド課金システムは、予算超過時に自動的に課金を停止しません — アラートは発火しますが、メーターは回り続けます。CrewAIとLangGraphユーザーからのコミュニティ報告では、想定予算の10倍を消費したトークン焼却ループが描写されています。
OpenLegionの緩和策。 ハードカットオフ付きのエージェント単位の日次・月次予算制御。フリート内の各エージェントが、リアルタイムで追跡される独自のトークン予算を持ちます。上限に達すると、オーケストレーション層がその特定のエージェントを停止します。ワークフローの残りは継続またはグレースフルに一時停止します。無視される「ソフト警告」はありません — カットオフはインフラレベルで強制されます。
脅威4:データ持ち出し
何が起こるか。 エージェントが攻撃者制御のエンドポイントへ機微なデータを送信するよう操られます。手法には:URLパラメータにデータをエンコードするようエージェントに指示(ログされたりリンクプレビュー経由で送信される)、エージェントのブラウザで攻撃者制御のページを訪問させる、ツール呼び出しを悪用して外部APIへデータを転送する、などがあります。
どの程度一般的か。 ゼロクリック持ち出し手法は、メッセージングプラットフォーム(リンクプレビューが自動的にURLを取得する)、エンタープライズコラボレーションツール、コードリポジトリで動作するエージェントに対して実証されています。銀行業務エージェントに関する研究では、データ持ち出し攻撃の成功率が約20%でした。
OpenLegionの緩和策。 コンテナレベルのネットワーク隔離が、各エージェントが到達できる外部エンドポイントを制限します。パーミッションマトリックスがエージェントごとの許可されたツール、ファイル、メッシュ操作を定義します。送信リクエストは制御されたチャネルを経由します。クレデンシャル隔離(エージェントは持ち出すクレデンシャルを持たない)と、すべてのアクションをログするフリートモデル調整と組み合わせることで、共有プロセス空間で無制限のネットワークアクセスを持つエージェントと比較して、持ち出しの攻撃面は大幅に減少します。
脅威5:サンドボックスエスケープ
何が起こるか。 エージェントまたは実行されたコードがコンテナから抜け出し、ホストシステム、他のコンテナ、オーケストレーション層へのアクセス権を得ます。コンテナエスケープの脆弱性は定期的に発見されます — 2025年11月には、主要クラウドプロバイダー全体でDockerとKubernetesに影響する複数の高深刻度runC CVEが開示されました。
OpenLegionの緩和策。 コンテナハードニング:非root実行(UID 1000)、no-new-privilegesフラグ、設定可能なメモリ上限(デフォルト384MB)、設定可能なCPU上限(デフォルト0.15)、コンテナ間で共有ファイルシステムなし。各エージェントは自身の/dataボリュームを取得します。4ゾーン信頼モデル(プラスオペレーター/内部ティア)は、エージェントがコンテナを脱出してもクレデンシャルボルトや他のエージェントのコンテナに直接アクセスできないゾーンに着地することを意味します。より強力な隔離を必要とする環境向けに、アーキテクチャはDocker Sandbox microVMをサポートします。
脅威6:サプライチェーン攻撃
何が起こるか。 エージェントスキル、MCPツールサーバー、共有設定、フレームワーク依存関係を介して悪意あるコードが導入されます。npm上で正規サービスを偽装する悪意あるMCPサーバーが発見されています。クラウドソース設定ファイルが、隠されたLLMトリガーのプロンプトで武器化されています。
OpenLegionの緩和策。 OpenLegionは外部フレームワーク依存ゼロを採用 — LangChainなし、Redisなし、Kubernetesなし。コアは純粋なPython + SQLiteです。MCPツールサーバーはサポートされますが、パーミッションマトリックスを通じてサンドボックス化されます。フリートモデル調整は、ツール呼び出しがワークフロー定義で明示的に宣言され、ランタイム時に動的に検出されるのではないことを意味します — 予期しないツール注入の面を減らします。
OpenLegionでAIエージェント隔離はどう動くか
OpenLegionの4ゾーン信頼モデル(プラスオペレーター/内部ティア)は、すべての展開を異なるセキュリティ境界に分離します:
ゾーン0 — 信頼できない外部入力。 ユーザーやサードパーティから届くもの全て:CLI、Telegram、Discord、Slack、WhatsApp、Webhookエンドポイント。入力はゾーン2に入る前にプロンプトインジェクションガード経由で検証・サニタイズされます。
ゾーン1 — サンドボックスされたエージェントコンテナ(信頼できない)。 各エージェントは、自身のDockerコンテナ内で隔離されたFastAPIインスタンスとして実行されます。各コンテナは自身の/dataボリューム、自身のメモリデータベース(SQLite + ベクター検索)、設定可能なリソース上限(デフォルト384MB RAM / 0.15 CPU)、非root実行(UID 1000)、cap_drop=ALL、no-new-privileges、読み取り専用ルートファイルシステム、Dockerソケット・クレデンシャルボルト・他のエージェントのコンテナへのアクセスなしを持ちます。
ゾーン2 — Mesh Host(信頼済み)。 クレデンシャルへのアクセス権を持つ唯一のコンポーネント。Blackboard(共有状態 + WAL)、PubSubルーター、Credential Vault(ブラインド注入プロキシ)、ACLマトリックス、Container Manager、Cost Tracker、Browser Service(エージェントごとのCamoufoxを:8500で)を実行します。このゾーンは強化されており、エージェントコードに公開されません。
ゾーン2.5 — オペレーターまたは内部。 Operatorエージェントまたは内部メッシュツーリングが利用可能な、予約済みの制御プレーン操作 — フリート管理、エージェント編集、パーミッション付与(Operatorはcan_spawnやcan_use_walletを付与できません)。
ゾーン3 — ループバック専用内部。 最も制限されたティア:x-mesh-internal: 1ヘッダーとループバックソースIPの両方を必要とするエンドポイント。メッシュ内部の調整呼び出しにのみ使用されます。
このアーキテクチャは、ゾーン1の侵害されたエージェントがゾーン2(クレデンシャル)や他のゾーン1コンテナ(他のエージェントのデータ)に到達できないことを意味します。単一エージェント侵害の影響範囲は、そのエージェントのサンドボックスに封じ込められます。
AIエージェントクレデンシャル管理:ボルトプロキシ vs 環境変数
AIエージェントフレームワーク全体で最も一般的なクレデンシャル管理パターンは環境変数です。APIキーは.envファイルにあるか、OAI_CONFIG_LIST経由で渡されます。エージェントプロセスがそれを直接読みます。これは以下を意味します:
- キーはエージェントのメモリ空間に存在する
- プロンプトインジェクション攻撃がエージェントにキーを印刷または持ち出すよう指示できる
- ログ、エラーメッセージ、デバッグ出力にキーが含まれる可能性がある
- エージェントが侵害されると、攻撃者は注入されたすべてのクレデンシャルへ直接アクセス
OpenLegionのボルトプロキシはこのアーキテクチャを根本的に変えます。APIキーはMesh HostのCredential Vault(ゾーン2)に保管されます。エージェントが認証付きAPI呼び出しを行う必要があるとき、リクエストをボルトプロキシに送ります。プロキシがネットワーク層でクレデンシャルを注入し、認証付き呼び出しを行い、結果をエージェントに返します。エージェントは生のキーを見ず、保存せず、メモリアクセスもしません。
これがボルトプロキシ経由のクレデンシャル — HashiCorp Vaultのようなエンタープライズシークレット管理システムが使用するのと同じ原理ですが、別個のインフラを必要とせずAIエージェントオーケストレーション層に組み込まれています。
コンテナ化されたAIエージェント:プロセスレベル隔離では不十分な理由
いくつかのフレームワークが何らかの隔離を提供しますが、実装詳細が重要です:
| フレームワーク | 隔離アプローチ | 実際に隔離されるもの | 共有されるもの |
|---|---|---|---|
| OpenLegion | エージェントごとのDockerコンテナ(強制) | プロセス、ファイルシステム、ネットワーク、メモリ、クレデンシャル | 何も — エージェントは完全に隔離 |
| OpenClaw | Dockerコンテナ(オプション) | プロセス、ファイルシステム | デフォルトでDockerソケットマウント、ホストネットワークアクセス可 |
| LangGraph | 内蔵なし | N/A | すべて — エージェントはPythonプロセスを共有 |
| CrewAI | CodeInterpreter用Docker | コード実行出力 | エージェントプロセスがPythonランタイムを共有 |
| AutoGen | コード実行用Docker | コード実行出力 | エージェントプロセスがPythonランタイムを共有 |
決定的な区別:OpenLegionはエージェント自体をコンテナで隔離します。Docker隔離を提供する他のフレームワークは通常、コード実行出力のみを隔離します — エージェントプロセス、そのメモリ、クレデンシャルアクセスは共有されたままです。これは、LangGraphやCrewAIでエージェントを侵害するプロンプトインジェクションが、共有プロセス内のすべてのクレデンシャルと状態にアクセスできることを意味します。OpenLegionでは、同じ侵害がクレデンシャルアクセスのない単一のサンドボックスコンテナに封じ込められます。
AIエージェントコスト制御:セキュリティとしての予算強制
コスト制御は単なる財務ガバナンスではありません — セキュリティメカニズムです。無制限のトークンを消費する暴走したエージェントは、悪意あるプロンプトインジェクションによってトリガーされたか、エージェントの推論ループの単純なバグによってトリガーされたかにかかわらず、リソース乱用攻撃です。
OpenLegionの予算強制はオーケストレーターレベルで動作します:
- 各エージェントが設定可能な日次・月次トークン予算を持つ
- トークン使用はゾーン2のCost Trackerによってリアルタイムで追跡される
- エージェントが上限に達すると、オーケストレーターがハードカットオフを発行 — エージェントは停止
- ワークフローパイプラインの残りは継続またはグレースフルに一時停止
- コストデータはエージェント単位の内訳付きでフリートダッシュボードに可視化される
執筆時点での公開ドキュメントに基づくと、この機能を組み込みで提供する他の主要AIエージェントフレームワークはありません。
コンプライアンスと監査の考察
OpenLegionは、以下を含むコンプライアンス制御を必要とする環境向けに設計されています:
- リクエストトレーシング:監査可能なフリートモデル調整は、すべてのワークフローステップが明示的かつ追跡可能であることを意味します。組み込みのリクエストトレーシングシステムが、タスク遷移、ツール呼び出し、トークン支出をリアルタイム可観測性のために記録します。ブラックボード(共有状態)がエージェント間の調整コンテキストを提供します。
- 監査可能なフリートモデル調整:フリートモデル調整(ブラックボード + パブ/サブ + ハンドオフ)は実行前に監査可能 — システムを動かさずにデータ、パーミッション、エージェント相互作用の完全なフローを検証できます。
- データ隔離:専用の
/dataボリュームを持つエージェント単位のコンテナは、あるエージェントが処理する機微なデータが他のエージェントからアクセス不可能であることを保証します。 - エアギャップサポート:外部サービスなし(Redis不要、Kubernetes不要、クラウドサービス不要)は、OpenLegionがオンプレミス環境で動作可能であることを意味します。
重要:OpenLegionは現在、SOC 2、ISO 27001、HIPAA、その他のコンプライアンス認証を取得していません。アーキテクチャはこれらの要件を持つ環境をサポートするために構築されていますが、認証は展開、設定、組織的制御の関数であり — フレームワークだけではありません。
デフォルトで安全なエージェントを展開しましょう。
よくある質問
AIエージェントセキュリティとは何を意味しますか?
AIエージェントセキュリティとは、自律AIエージェントがクレデンシャル漏洩、プロンプトインジェクション、リソース乱用、データ持ち出し、サンドボックスエスケープ、過剰な権限を通じて害を引き起こすのを防ぐ制御セットのことです。ランタイム隔離(エージェントのサンドボックス化)、クレデンシャル管理(キー露出の防止)、コスト強制(暴走支出の停止)、パーミッション制御(エージェントができることの制限)、入力検証(悪意ある入力のフィルタリング)にまたがります。
APIキーを持つAIエージェントをどう保護しますか?
最も安全なアプローチはボルトプロキシ経由のクレデンシャルです:エージェントが直接アクセスできないボルトにAPIキーを保管します。エージェントが認証付き呼び出しを行う必要があるとき、リクエストはネットワーク層でクレデンシャルを注入するプロキシを経由してルーティングされます。エージェントは生のキーを決して見ません。OpenLegionは4ゾーン信頼モデル(プラスオペレーター/内部ティア)のゾーン2にあるボルトプロキシでこれを実装します。最も安全性が低い(そして最も一般的な)アプローチは環境変数で、キーがエージェントのメモリに存在し、プロンプトインジェクション、ロギング、エラー出力経由で漏洩する可能性があります。
AIエージェント隔離はどう機能しますか?
エージェント隔離とは、各エージェントを自身のサンドボックス環境 — 別個のプロセス、ファイルシステム、ネットワーク名前空間、メモリ空間 — で実行することを意味します。OpenLegionでは、各エージェントが設定可能なリソース上限(デフォルト384MB RAM、0.15 CPU)、非root実行、共有ファイルシステムなしの専用Dockerコンテナで動作します。これは侵害されたエージェントが他のエージェントのデータ、クレデンシャルボルト、ホストシステムにアクセスできないことを意味します。これは、エージェントがPythonプロセスを共有し互いのメモリにアクセスできるフレームワークとは異なります。
なぜAIエージェントには予算/コスト制御が必要ですか?
自律エージェントは再帰ループに入る、過剰なAPI呼び出しを行う、または必要なものをはるかに超えるリソースを消費するよう操られる可能性があります。予算制御がなければ、単一の暴走したエージェントが数分でトークンに数百ドルを枯渇させる可能性があります。マルチエージェントシステムではこれが累積します — 各エージェントがリスクを掛け合わせます。OpenLegionはオーケストレーターレベルでハードカットオフ付きのエージェント単位日次・月次予算を強制し、いかなる単一のエージェントも無制限のコストを引き起こさないようにします。
BYOキーでも安全なAIエージェントは可能ですか?
可能です。BYO(Bring Your Own)キーモデルは、適切なアーキテクチャがあれば実際にはより安全です。OpenLegionでは、キーはMesh HostのCredential Vaultに保管され、ネットワーク層でボルトプロキシを介して注入されます。エージェントは生のキーを決して見ません。これにより、完全なコスト透明性(各エージェントが各プロバイダーで何を使ったか正確に把握)、プロバイダーの柔軟性(エージェントごとにモデルを切り替え)、使用するプロバイダーにかかわらず同じクレデンシャル隔離保証を得られます。LLM APIキーは持ち込みOK。モデル利用にマークアップはありません。
AIエージェント向けOWASP Top 10とは?
OWASPは2025年12月にエージェント型アプリケーション向けTop 10を公開しました。第1位のリスクはエージェントゴールハイジャック — 攻撃者がエージェントを操ってユーザー意図とは異なるゴールを追求させる攻撃です。他の上位リスクには、クレデンシャル漏洩、過剰な権限(エージェントが範囲を超えてアクションを取る)、サプライチェーン脆弱性(悪意あるツールやプラグイン)があります。OpenLegionはこれらを、ボルトプロキシ経由のクレデンシャル、コンテナ隔離、パーミッションマトリックス、フリートモデル調整(ブラックボード + パブ/サブ + ハンドオフ)を通じて対処します。
OpenLegionはOpenClawとセキュリティでどう比較できますか?
公開ドキュメントによれば、OpenLegionはより厳格なセキュリティデフォルトを提供します。OpenClawのデフォルトローカル展開はDockerソケットマウント(広範なホストアクセス権を付与)を必要とし、セキュリティアナライザーは一貫した起動について報告された問題があり、エージェントプロセスからアクセス可能な設定にクレデンシャルを保管します。OpenLegionは強制された隔離コンテナでエージェントを実行し、ボルトプロキシ経由のクレデンシャルにボルトプロキシを使用し、エージェント単位の予算を強制し、複数のチョークポイントでUnicodeサニタイゼーションを適用します。詳細比較はOpenLegion vs OpenClawをご覧ください。
AIエージェントに適用されるコンプライアンスフレームワークは?
主要フレームワークには、LLMアプリケーション向けOWASP Top 10(2025)とエージェント型アプリケーション向け(2026)、NIST AIリスク管理フレームワーク(今後のAIエージェント標準を含む)、ISO/IEC 42001(AI管理システム)、EU AI法(2026年8月に施行開始)、ドメインに応じてHIPAA、SOC 2、SOXなどの業界固有規制があります。OpenLegionのアーキテクチャはこれらの制御を必要とする環境向けに設計されていますが、それ自体は認証を保持しません。
含めるべき内部リンク
| アンカーテキスト | 遷移先 |
|---|---|
| AIエージェントプラットフォーム | /learn/ai-agent-platform |
| AIエージェントオーケストレーション | /learn/ai-agent-orchestration |
| AIエージェントフレームワーク比較 | /learn/ai-agent-frameworks |
| AIエージェントセキュリティ | /learn/ai-agent-security |
| OpenClaw代替 | /openclaw-alternative |
| OpenLegion vs OpenClaw | /comparison/openclaw |
| ドキュメント | /docs |
| GitHub | https://github.com/openlegion-ai/openlegion |