2026年5月27日 ノード15個 #tech#ai#research

エージェントの信頼境界

MCP駆動のAIエージェントが、サプライチェーン・プロトコル・ツールからどのように信頼を継承するのか——そして、どの封じ込めプリミティブが実際に被害範囲(ブラスト半径)を押し戻すのかを描いたマップ。

ブリーフ全文

AIエージェントは多くの場所から同時に信頼を継承する——モデルベンダー、フレームワーク、MCPサーバー、あらゆるnpm/pypi依存、すべてのツールマニフェスト。いずれか一層が破られれば、エージェントは攻撃者の意図のままに動く。信頼境界はもはや『壁』ではなく『グラフ』になった。

攻撃面としてのサプライチェーン

オープンソースのパッケージは、いまやほぼすべてのエージェント経路の内側に存在する。たった一つの汚染された依存が、LLM駆動のワークフロー内で『認可された操作』に化ける。エージェントはそのパッケージを、自らのランタイムと同じく——完全に信頼してしまうからだ。

Mini Shai-Hulud

2026年4月29日、4つのSAP CAPパッケージから始まり、数週間で160を超えるnpmパッケージへ拡散した。AWS・Azure・GCP・Kubernetesのトークン——そして特筆すべきはMCPとClaudeの設定ファイルを、インストーラー端末の /proc/{pid}/mem から直接読み取る。

Starlette CVE-2026-48710

BadHostが開示したStarlette ≤1.0.0の脆弱性——週間3.25億ダウンロード。FastAPI、vLLM、LiteLLM、そしてほとんどのPython製MCPサーバーに影響する。人気のエージェントスタックに含まれる単一の推移的依存が、同じ脆弱性をあらゆる場所に同時に持ち込む。

悪意あるパッケージの規模

Sonatypeの2026年レポート:2025年に新規の悪意あるパッケージを454,600件カタログ化し、その99%がnpm、前年比+75%。汚染された依存の基準発生率は、もはや裾野のリスクではない——オープンエコシステムを使うことのコストそのものだ。

プロトコル層の露出

MCPはツールがモデルに届く仕組みを変えた。静的で吟味されたAPIの代わりに、エージェントは任意のサーバーへダイヤルする。プロトコルそれ自体が新たな露出面となる——素朴なトランスポート、弱い認証のデフォルト、曖昧なサーバー同一性。

Anthropic SDKのSTDIO欠陥

OX Securityの開示(2026年4月15日):約200,000のMCPサーバーが、デフォルトで信頼する前提のままSTDIOトランスポートで露出していた。Anthropicはこの挙動を設計意図と分類した——セキュリティ境界をデプロイ側へ押し付けたのだ。

インジェクションの増幅

arxiv:2601.17549は、MCPツールを追加すると、MCP非統合時に比べて敵対的プロンプトの成功率が23〜41%上昇すると報告する。エージェントの行動空間が豊かになるほど、攻撃者は一度注入する指示でより多くを表現できる。

実際に被害を封じ込めるもの

防御は『何も信頼するな』というスローガンから、具体的なプリミティブへ移る。能力の分離、スコープ化されたシークレット、署名付きツールマニフェスト、モデル出力とツール実行の間のコンテンツファイアウォール。狙いは、侵害を横方向ではなく局所にとどめることだ。

能力の分離

各MCPサーバーには可能な限り狭い能力だけを与える——デフォルトは読み取り専用、シェルなし、宣言のない限りネットワーク送信なし。モデルがマスター認証情報を握ることはない。握るのは、一つのタスクに紐づくブローカー発行のトークンだけだ。

シークレットのスコープ化

クラウド、Kubernetes、ソース管理のトークンは、MCP設定ファイルやモデルと共有する環境変数には決して置かない。短命なOIDC交換とツールごとのトークンにより、盗まれた認証情報は使い物になりにくく、失効も容易になる。

署名付きツールマニフェスト

ツールマニフェスト、MCPサーバー、プロンプトテンプレートは署名され、ピン留めされる。新しいMCPサーバーの導入には、新しいコード依存を採用するのと同じ信頼の儀式を要する——『インストールして実行』の一発ではない。

OWASP Agentic Top 10

OWASPのエージェンティックTop 10は、繰り返し現れる失敗モード——ツール汚染、ID詐称、メモリ汚染、過剰な自律性——を体系化する。チェックリストとしてではなく、チームを越えてエージェントの脅威を語るための共通言語として有用だ。

共有責任、その主体はデプロイ側

BackslashによるAnthropicの姿勢の読み解き:4層のうち3層——ホスト、デプロイ、ツールエコシステム——はモデルベンダーではなくデプロイ側にある。MCPセキュリティをベンダーの問題として扱うのは、構造的に誤りだ。

隣接シグナルとしてのUX反発

2026年5月、DuckDuckGoのインストールが30%急増し、Braveは1日5,000万クエリを処理した。これは、ユーザーが際限のないAI表層をも拒み始めていることを示す——制御不能なエージェント挙動をめぐる、エンジニアリング側の信頼危機の、市場側のこだまだ。

open_in_new startupxo.com/ko/news/2026/05/ai-search-rejection-duckduckgo-momentum

出典・関連リンク