OWASP Agentic Applications Top 10 (2026): 開発者とセキュリティチームが知るべき新たなAIエージェントのリスク

概要

OWASPがAIエージェントシステム向けの新しいセキュリティリスク分類「OWASP Top 10 for Agentic Applications (2026)」を公開しました。従来のWebアプリケーションとは異なり、AIエージェントは自律的に計画・判断・行動するため、新たな攻撃面が生まれています。この文書では、自律型AIシステムに特有の10の重要なセキュリティリスクと対策が詳述されており、「最小権限の原則」に相当する「最小エージェンシー」の概念が導入されています。

技術的な詳細

• ASI01 エージェント目標ハイジャック: 悪意のあるテキストコンテンツによりエージェントの目標が改変される脆弱性
• ASI02 ツール悪用と不正利用: 正規のツールが意図しない破壊的なパラメータで実行される問題
• ASI03 アイデンティティと権限の乱用: エージェント間での権限昇格や意図しない権限継承の脆弱性
• ASI04 エージェンティックサプライチェーン脆弱性: MCPサーバーやプロンプトテンプレートなど動的に取得されるコンポーネントのリスク
• ASI05 予期しないコード実行: エージェントが生成したコードやコマンドの安全でない実行
• ASI06 メモリとコンテキストポイズニング: RAGデータベースや要約システムへの悪意のあるデータ注入
• ASI07 エージェント間通信の脆弱性: マルチエージェントシステムにおける認証されていない通信チャネル
• ASI08 カスケード障害: 一つのエージェントの小さなエラーがシステム全体に波及する問題
• ASI09 人間-エージェント信頼関係の悪用: ユーザーのエージェントへの過度な信頼を利用した攻撃
• ASI10 ローグエージェント: 正規に見えながら悪意のある行動を継続する不正エージェント

影響と対策

これらのリスクは、CI/CDパイプライン、内部コパイロット、カスタマーサポート、インフラ自動化などの本番環境で発生しています。対策として、プロンプトインジェクションフィルタリング、ツール権限の厳格なスコープ化、サンドボックス実行、短期間認証情報の使用、署名済みマニフェスト、相互TLS、回路ブレーカー、行動監視、キルスイッチなどが推奨されています。特にAikidoのPromptPwnd研究では、GitHub ActionsでのPrompt Injectionによる実際の被害事例が報告されています。

重要なポイント

• 従来のOWASP Top 10では対応できない新しい攻撃面がAIエージェントシステムに存在する
• 「最小エージェンシー」原則：エージェントには安全で制限されたタスクに必要な最小限の自律性のみを付与する
• 自然言語入力を信頼できないものとして扱い、生成されたコードは常に検証が必要である