AI が単なるテキスト生成から、ツール呼び出し・記憶保存・複数ステップの計画立案機能を備えたエージェントへと進化するにつれ、そのセキュリティリスクは根底から変容した。従来の大規模言語モデルのプロンプトに対する防御体制では、エージェントがもたらす複雑な攻撃対象領域に対処しきれない。2026 年の関連報告によると、約 98％のセキュリティリーダーが、エージェンツの急速な導入とコンプライアンス遵守の間で深刻な対立に直面している。 エージェントは「プロンプト面」「ツール面」「メモリ面」「プランニングループ面」という 4 つの新規攻撃次元を導入した。プロンプト面のリスクは間接的なインジェクションであり、攻撃者が外部ドキュメントや Web ページの内容を偽造して、悪意のある指示を信頼できる文脈として誤認させることでエージェントを誘導する。ツール面には権限濫用が含まれており、パラメータインジェクションを通じてデータベースへの書き込みなどの危険な実行を制御される可能性がある。メモリ面のリスクは「ポイズニング」つまり永続化したメモリーデータの改ざんにより、後続のセッションにおいてエラー情報に基づいて有害な判断を下すことである。プランニングループ面が最も致命的だ：一度推論ロジックが元々の目標から逸脱するように仕向けられると、マルチエージェントアーキテクチャ内でエラーが瞬く間に拡散し、大規模な連鎖反応を引き起こす。 既存のモデル層での防御は実戦においては脆いことが示されており、研究によればファインチューニング攻撃によって一部のセーフティフィルターを容易に迂回可能だという。したがって、システムの実行レベルにおけるディフェンス・イン・デプスが必要となる。しかしながら、セキュリティ対策とエージェントの自律性の間には常にトレードオフが存在し、過度な制限は機能性を損なう。例えばサンドボックス環境は機能の利用可能性を低下させ、人的承認プロセスはレスポンスタイムを増加させる。 効果的なセキュリティ戦略は、展開時のリスクに応じてカスタマイズされ、影響度の高いシナリオを優先的に保護すべきである。具体的には、エージェントとは独立したガバナンスツールの採用、最小権限原則の徹底、および推論過程を対象とした観測可能な監視システムの構築などが含まれる。エージェントセキュリティは白黒つけるスイッチではなく、能力とリスクのバランスを探る継続的なゲームである。組織がアプリケーション開発前に安全性を確保したいのであれば、事前に攻撃対象領域のマッピングを行い、事故発生後の事後対応ではなく、アーキテクチャ設計段階から防護機構を組み込む必要がある。