ChatGPT開発元のOpenAIが、初のAI搭載Webブラウザ「Atlas」を発表しました。Perplexityの「Comet」など競合も登場し、Web上の作業を自動化する「AIエージェント」への期待が高まっています。しかしその裏で、悪意あるWebサイトの指示をAIが誤って実行してしまう「プロンプトインジェクション攻撃」という、深刻かつ未解決のセキュリティリスクが大きな課題として浮上しています。

プロンプトインジェクション攻撃とは、攻撃者がWebページ内に人間には見えない形で、AIへの悪意ある命令を仕込む手口です。AIエージェントがページ情報を要約・分析する際にこの隠れた命令を読み込み、ユーザーの指示よりも優先して実行してしまう危険性があります。これはAIの仕組みに根差した脆弱性です。

この攻撃を受けると、AIエージェントはユーザーの個人情報やメール内容を外部に送信したり、勝手に商品を購入したり、意図しないSNS投稿を行う可能性があります。ブラウザがユーザーに代わって操作を行うため、被害は広範囲に及ぶ恐れがあり、従来のブラウザにはなかった新たな脅威と言えるでしょう。

セキュリティ専門家は、この問題が特定のブラウザの欠陥ではなく、AIエージェントを搭載したブラウザというカテゴリ全体が直面する「体系的な課題」だと指摘しています。現在、この攻撃を完全に防ぐ確実な解決策はなく、「未解決のフロンティア」であるとの認識が業界内で共有されています。

OpenAIやPerplexityもこのリスクを認識しており、対策を進めています。例えば、ユーザーのアカウントからログアウトした状態でWebを閲覧するモードや、悪意あるプロンプトをリアルタイムで検知するシステムを導入しています。しかし、これらも完全な防御策とは言えず、いたちごっこが続く状況です。

では、利用者はどうすればよいのでしょうか。まずは、AIブラウザに与えるアクセス権限を必要最小限に絞ることが重要です。特に銀行や個人情報に関わるアカウントとの連携は慎重に判断すべきでしょう。また、ユニークなパスワード設定や多要素認証の徹底といった基本的なセキュリティ対策も不可欠です。

AI開発ツール大手のLangChain社が、AIエージェント開発ツールを「フレームワーク」「ランタイム」「ハーネス」の3つに分類する新たな概念を提唱しました。これは、乱立する開発ツール群を整理し、開発者がプロジェクトの目的やフェーズに応じて最適なツールを選択しやすくするための「思考の枠組み」を提供するものです。本記事では、それぞれの定義と役割、そして適切な使い分けについて解説します。

まず「フレームワーク」は、開発の抽象化と標準化を担います。代表例は同社の「LangChain」で、開発の初期段階で迅速にプロトタイプを構築するのに役立ちます。一方で、抽象化が進むことで内部動作が不透明になり、高度なカスタマイズが難しい場合があるという課題も指摘されています。

次に「ランタイム」は、エージェントを本番環境で安定して実行するための基盤です。「LangGraph」がこれに該当し、耐久性のある実行や人間による介入（ヒューマン・イン・ザ・ループ）など、インフラ層の機能を提供します。フレームワークよりも低レベルな層で動作し、堅牢なアプリケーションの構築を支えます。

最後に「ハーネス」は、フレームワークよりさらに高レベルな、「すぐに使える」多機能パッケージを指します。同社の新プロジェクト「DeepAgents」がその一例で、デフォルトのプロンプトやツールが予め組み込まれています。特定のタスクに特化した「即戦力」として、迅速な開発と導入が可能です。

これら3つは、ハーネスがフレームワーク上に構築され、フレームワークがランタイム上で動作するという階層関係にあります。開発者は、迅速な試作ならフレームワーク、本番運用ならランタイム、特定用途ですぐに使いたいならハーネス、というように目的応じて使い分けることが重要になるでしょう。

この分類はまだ黎明期にあり定義も流動的ですが、AIエージェント開発の複雑性を理解する上で非常に有用な思考の枠組みと言えます。自社の開発プロジェクトがどの段階にあり、どのツールが最適かを見極めるための一助となるのではないでしょうか。

米国の移民・税関執行局（ICE）が、AIを活用したソーシャルメディア監視システムを開発するZignal Labs社と、570万ドル（約8.5億円）の契約を締結したことが明らかになりました。この動きは、ウェブ上の数百万人のユーザーを追跡し、法執行任務を強化する目的がありますが、専門家からは「民主主義と言論の自由への攻撃だ」と強い懸念の声が上がっています。

Zignal Labs社のシステムは、1日に80億件以上のSNS投稿を100以上の言語で分析できる「リアルタイム情報プラットフォーム」です。機械学習や画像認識技術を駆使し、投稿された写真や動画の位置情報、写り込んだ紋章などから個人の特定や所在地の割り出しが可能だとされています。

ICEはこの技術を用いて、国家安全保障上の脅威となる人物や国外追放対象者を特定する「選別された検知フィード」を作成する可能性があります。実際に、ICEはSNS上のコンテンツを24時間体制で監視し、対象者の家族や友人、同僚のデータまで調査する計画も報じられています。

この大規模な監視に対し、監視技術監督プロジェクト（STOP）や電子フロンティア財団（EFF）などの団体は強く反発しています。彼らは「AIによる自動監視は、政府が気に入らない意見を弾圧するために使われかねず、社会に深刻な萎縮効果をもたらす」と警鐘を鳴らしています。

ICEの監視手法はSNSに留まりません。すでに全米のナンバープレートスキャン網や、数億台の携帯電話の位置情報を追跡するツールにもアクセスしていると報じられています。政府による監視は拡大の一途をたどっており、その透明性が問われています。

強力なAI監視ツールが法執行機関の手に渡ることで、個人のプライバシーと言論の自由は新たな脅威にさらされています。納税者の資金で賄われるこの監視システムが、移民だけでなく政府に批判的な活動家を標的にする可能性も指摘されており、その運用には厳しい目が向けられるべきでしょう。