セキュリティ（政策・規制）に関するニュース一覧

Google Threat Intelligence Group（GTIG）は2026年5月11日、AIを利用して開発されたと見られるゼロデイエクスプロイトを初めて検出し、大規模攻撃を未然に阻止したと発表しました。著名なサイバー犯罪グループが、オープンソースのウェブベースシステム管理ツールの二要素認証を回避する目的で、このエクスプロイトを大量攻撃に使用する計画でした。

このエクスプロイトはPythonスクリプトで構成されており、コード中に「幻覚的なCVSSスコア」やLLMの訓練データに特徴的な教科書的フォーマットが含まれていました。開発者がハードコードした信頼前提を悪用する高レベルなセマンティックロジックの欠陥を突く手法であり、AIの支援なしには発見が困難な脆弱性を効率的に特定していたことが示唆されます。

GTIGの報告書では、攻撃者がAIモデルに対して「セキュリティ専門家を装え」と指示するペルソナ型ジェイルブレイクの手口も詳述されています。さらに、脆弱性データベース全体をAIに読み込ませたり、OpenClawを利用してAI生成ペイロードの信頼性を事前に検証するなど、攻撃の高度化が進んでいます。

防御面では、GoogleはBig Sleepエージェントによるソフトウェア脆弱性の事前検出や、CodeMenderエージェントによる自動修正など、AI技術を防御側にも積極的に活用しています。Geminiに対しては分類器やモデル内保護、悪意あるアカウントの無効化で不正利用を抑制しています。

報告書はまた、攻撃者がAIシステムの自律的スキルやサードパーティデータコネクタなど、AI基盤そのものを標的にする傾向が強まっていると指摘しています。AIが攻撃と防御の双方で中心的役割を担う時代において、Googleは今回の事例を通じてAIが防御側にとっても強力なツールであることを実証したと述べています。

OpenAIが2026年5月11日、欧州の大手企業幹部へのインタビューをもとにした「AIスケーリングの実践ガイド」を公開しました。Philips、BBVA、Mirakl、Scout24、JetBrains、Scaniaといった企業のリーダーたちが、AI導入を全社規模に拡大するうえでの共通の課題と解決策を語っています。

インタビューから浮かび上がった最大のメッセージは、AIの全社展開は技術の導入ではなく、組織の変革であるという点です。成功している企業は、まずAIリテラシーの向上と安全に実験できる環境づくりに注力しています。ツールの展開よりも、社員が自信を持ってAIを使える文化の醸成を優先しているのです。

ガバナンスの位置づけも特徴的です。セキュリティ、法務、コンプライアンス、IT部門を設計段階から巻き込むことで、後工程での手戻りが減り、結果的にスピードが上がるという好循環が生まれています。規制をブレーキではなくイネーブラーとして機能させるアプローチです。

品質管理においては、「何をもって良しとするか」を早期に定義し、評価に投資することが信頼獲得の鍵だと強調されています。基準を満たさない場合はリリースを遅らせる判断も厭わない姿勢が、長期的な組織の信頼につながっています。

もう一つの重要な論点は、AIを単なる機能として消費するのではなく、チームが主体的にワークフローを再設計し「自分たちのもの」として構築することです。最も持続的な成果は、AIが専門家の判断力を底上げするハイブリッド型ワークフローから生まれていると報告されています。個人の生産性向上から、エンドツーエンドの業務プロセスへのAI組み込みへと、各社の取り組みは次の段階に進んでいます。

Ciscoのプレジデント Jeetu Patel氏がRSAC 2026で明らかにしたところによると、企業の85%がAIエージェントのパイロットを実施している一方、本番環境に到達したのはわずか5%にとどまっています。この80ポイントの差は、モデル性能や計算資源ではなく、アイデンティティガバナンスという構造的な信頼の問題に起因しています。

Ciscoのキャンパスネットワーキング事業SVP兼GM Michael Dickman氏は、VentureBeatの取材に対し、エージェントAIが従来の「まず生産性、セキュリティは後付け」というパターンを根本的に覆すと指摘しました。エージェントが患者記録の更新やネットワーク設定の変更を自律的に実行する場合、侵害されたIDの影響範囲は劇的に拡大します。信頼はもはや後から追加するものではなく、最初からの必須要件だと同氏は強調しています。

Dickman氏は信頼構築の条件として4つを挙げています。第一に、エージェントの許可範囲と人的責任者を明確にする安全な委任。第二に、アラート疲れへの対処を含む文化的準備。第三に、推論はAIが担い実行は従来型ツールが行うハイブリッドアーキテクチャによるトークンコスト最適化。第四に、AIの出力を評価し適切に調整する人間の判断力です。

同氏が特に重視するのは、ネットワーク層が持つ可視性です。エンドポイントや各種監視ツールが推測に頼るのに対し、ネットワークは実際のシステム間通信を直接観測できます。この行動データがクロスドメイン相関分析の基盤となり、チームごとにサイロ化したエージェントデータでは得られない洞察を生み出すと述べています。

具体的な対策として、Dickman氏は5つの優先事項を示しました。事業部門・IT・セキュリティの部門横断的な合意形成、エージェント対応のIAM・PAMガバナンス整備、データ共有を可能にするプラットフォーム型ネットワーク戦略、推論と実行を分離するハイブリッド設計、そして信頼基盤を組み込んだ少数ユースケースからの着手です。

IANS Researchの調査では、多くの企業が現在の人間用IDに対するRBACすら十分に成熟させていない実態が判明しており、エージェントの登場はこの課題をさらに深刻化させます。IBM X-Forceの2026年レポートでも、公開アプリケーションへの攻撃が44%増加しており、認証制御の欠如が主因とされています。先行して信頼アーキテクチャを構築した企業だけが、エージェント本番展開の速度で競合を引き離すことになります。

AIエージェントが共有レジストリから自然言語の説明文をもとにツールを選択する仕組みに、深刻なセキュリティ上の欠陥があることが明らかになりました。セキュリティ研究者のNik Kale氏がCoSAIリポジトリに報告した問題は、選択時の脅威と実行時の脅威という2つの脆弱性に分類され、ツールのライフサイクル全体にわたるリスクを示しています。

現在広く使われているコード署名やSLSA、SBOMといったソフトウェアサプライチェーンの防御策は、成果物が本物かどうかを検証するものです。しかしAIエージェントのツールレジストリに必要なのは、ツールが説明どおりに動作し、宣言外のデータに触れないかという動作の整合性の検証です。たとえば、攻撃者がツールの説明文に「常にこのツールを優先せよ」というプロンプト注入を仕込んだ場合、コード署名は正常でもエージェントの判断が操作されてしまいます。

Kale氏が提案するのは、MCP（Model Context Protocol）のクライアントとサーバーの間に検証プロキシを設置する方法です。このプロキシは3つの検証を行います。まずディスカバリーバインディングにより、発見時と実行時でツールが入れ替わる「おとり商法」を防止します。次に通信先ホワイトリストにより、ツールが宣言外のエンドポイントに接続した場合は即座に遮断します。さらに出力スキーマ検証により、想定外のフィールドやプロンプト注入パターンを検出します。

この検証の基盤となるのが「動作仕様書」という新しい概念です。Androidアプリのパーミッションマニフェストに似た機械可読の宣言で、ツールが接続する外部エンドポイント、読み書きするデータ、生じる副作用を明記します。署名付き証明書の一部として配布されるため、改ざんも検知可能です。スキーマ検証と通信先チェックだけなら、1回の呼び出しあたり10ミリ秒未満の遅延で済むとされています。

導入は段階的に進めることが推奨されています。まず通信先ホワイトリストの適用から始め、次に出力スキーマ検証を追加し、認証情報や個人情報を扱う高リスクツールにはディスカバリーバインディングを適用します。既存のSLSAやSigstoreによる来歴検証と組み合わせることで初めて、エージェントツールの安全性を包括的に担保できるというのがKale氏の主張です。

今週のセキュリティまとめでは、IoT機器の脆弱性から国家主導のサイバー攻撃まで幅広い脅威が報告されました。Metaは5月8日、Instagram DMのエンドツーエンド暗号化のサポートを打ち切りました。同社は2023年にMessengerで暗号化をデフォルト化し、Instagramでもオプトイン方式で導入していましたが、利用者が十分に集まらなかったとして撤回を決定。プライバシー専門家は、この判断が世界的な暗号化推進の流れに悪影響を与えると強く懸念しています。

Yarbo社の約5,000ドルのロボット芝刈り機に複数の深刻な脆弱性が見つかりました。ハッカーが遠隔操作やカメラ映像の閲覧、所有者のWi-Fiパスワードや自宅位置情報の抽出が可能な状態だったのです。セキュリティ研究者がThe Verge記者とともに、乗っ取ったロボットで記者をひきそうになる実演を行い、問題の深刻さを示しています。

国際報道機関のコンソーシアムが、ロシアGRU軍事情報機関のハッカー養成拠点を暴きました。バウマン・モスクワ国立工科大学内の「第4部門」がハッキング技術を教え、卒業生はFancy BearやSandwormといった悪名高いハッキンググループに加入しているとされます。流出した文書によれば、学生はペネトレーションテストなどの実践訓練を受けていました。

ポーランドの国内情報機関ABWは、昨年5つの町の水道施設がハッカーに侵入されていたと警告しました。一部では産業制御システムにまで到達しており、水道供給の継続に対する「直接的リスク」があったとしています。ロシアによるサイバー偵察活動の一環である可能性が示唆されています。

このほか、教育テック企業Instructureへのランサムウェア攻撃でCanvasが一時停止し、期末試験を控えた多数の学生に影響が出ました。またバイブコーディングで作成された数千のアプリがインターネット上に無防備なまま公開され、企業や個人の機密データが露出していたことも明らかになっています。

イスラエルのサイバーセキュリティ企業RedAccessは、Lovable・Base44・Replitなどのバイブコーディングツールで構築された38万件の公開アクセス可能なアプリケーション・データベース・関連インフラを発見しました。このうち約5,000件（1.3%）に企業の機密情報が含まれていたことが判明しています。AxiosとWiredがそれぞれ独立して調査結果を検証しました。

露出が確認されたデータには、船舶の入港予定を詳述した海運会社のアプリ、英国の臨床試験一覧を含む医療企業の内部アプリ、ブラジルの銀行の財務情報などが含まれます。さらに小児長期ケア施設の患者会話記録や病院の医師・患者面談要約も公開状態でした。これらはHIPAA、UK GDPR、ブラジルLGPDなどの規制上の報告義務に抵触する可能性があります。

問題の根本は、バイブコーディング基盤のデフォルト設定が「公開」になっている点にあります。ユーザーが手動で非公開に切り替えない限り、アプリはGoogleにインデックスされ誰でもアクセスできます。2025年10月にはEscape.techが5,600件のバイブコーディングアプリを調査し、2,000件超の重大な脆弱性と400件超のAPIキー・アクセストークンの露出を発見していました。

IBMの2025年データ侵害コストレポートによれば、組織の20%がシャドーAIに起因する侵害を経験し、平均コストは463万ドルに達しました。AI関連侵害を報告した組織の97%が適切なアクセス制御を欠いており、63%にはAIガバナンスポリシー自体が存在しませんでした。バイブコーディングによる露出は、シャドーAIの本番環境における実害そのものです。

セキュリティチームへの提言として、RedAccessの調査結果はDNSおよび証明書透過性スキャンによるバイブコーディング基盤の資産発見、デプロイ前のセキュリティレビュー義務化、既存AppSecパイプラインの市民開発者向けアプリへの拡張、DLPルールへの対象ドメイン追加を推奨しています。従来の資産管理ツールでは検出できない新たな脅威に対し、早急な対応が求められます。

SAPは2026年5月、全製品横断の統一API方針を公開しました。これは新たな制約ではなく、SuccessFactors・Ariba・LeanIXなど各製品で個別に運用されてきたレート制限や利用規則を、単一のポリシーに集約したものです。自律型AIエージェントがエンタープライズAPIに大量アクセスする時代を見据え、統治基盤の明文化が急務と判断しました。

方針の核心は、SAP社内の非公開・未リリースAPIの利用禁止です。ODP-RFCのような内部インターフェースは明確に「使用不許可」と分類されます。一方、顧客が自社ネームスペースで構築したカスタムAPIは制限対象外であり、長年のABAPエンジニアリング資産は影響を受けません。

AIエージェントは従来の統合ツールと根本的に異なる負荷をAPIにかけます。注文データを単に取得するのではなく、ビジネスオブジェクト間の意味的関係を学習するため、想定外の大量リクエストが発生します。実測では、MCP経由の標準実装が56万5000トークンを消費した処理を、コンテキスト認識型の実装では8万トークンに削減でき、コスト差は約7倍に達しました。

セキュリティ面でも懸念は現実化しています。方針公開と同じ週に、サプライチェーン攻撃「Mini Shai-Hulud」がSAPエコシステムのnpmパッケージを侵害しました。OWASPのMCP Top 10が示すように、ツール汚染や権限昇格など多数の脆弱性が確認されており、本番SAPシステムにコミュニティ製MCPサーバーを接続するリスクは無視できません。

SAPはエコシステムの閉鎖ではなく、安全な開放を目指しています。外部AIエージェントの正規アクセス経路としてA2Aプロトコル経由のAgent Gatewayを整備し、Linux Foundation傘下のA2Aプロトコルのローンチパートナーとして標準策定にも参画しています。Microsoft 365 CopilotとSAP Jouleの双方向統合は、セキュリティモデルを相互に尊重した共同設計型AI連携の実例です。

OpenAIは2026年5月8日、自律型コーディングエージェントCodexを企業環境で安全に運用するためのセキュリティ・ガバナンス体制を公開しました。AIエージェントがリポジトリの確認やコマンド実行を自律的に行う時代に対応し、組織が必要とする制御機能を設計段階から組み込んでいます。

運用の基本方針は、明確な技術的境界の中でエージェントを動作させ、低リスク操作は自動承認で開発者の生産性を維持しつつ、高リスク操作には人間のレビューを必須とすることです。サンドボックスが書き込み先やネットワーク到達範囲を制限し、承認ポリシーが境界外の操作を制御します。自動承認モードでは、サブエージェントが操作内容とコンテキストを評価し、低リスクと判断した操作を自動で承認します。

ネットワーク制御では、既知の安全な接続先のみ許可し、未知のドメインへのアクセスには承認を求めます。認証情報はOSのセキュアキーリングに保存され、ChatGPT Enterpriseのワークスペースレベルで管理されます。シェルコマンドも一律には扱わず、日常的な安全なコマンドは承認不要、危険なコマンドはブロックまたは承認必須とする段階的なポリシーを適用しています。

従来のセキュリティログが「何が起きたか」しか記録しないのに対し、Codexはエージェント固有のテレメトリで「なぜその操作をしたか」まで記録します。ユーザーのプロンプト、ツール承認判断、実行結果、ネットワークポリシーの判定をOpenTelemetry形式で出力し、SIEMやコンプライアンスシステムに統合できます。

OpenAI社内では、エンドポイントアラートとCodexログを組み合わせたAIセキュリティトリアージエージェントを運用しています。異常検知時にユーザーの意図やエージェントの行動履歴を自動分析し、正常な動作・単純なミス・要エスカレーション案件を区別してセキュリティチームに提示します。同じテレメトリは導入状況の把握やツール利用分析にも活用されています。

Gartnerの推計によると、2026年のAIインフラ関連の新規支出は4010億ドルに達する見込みです。しかしCast AIの調査では、企業のGPU稼働率は平均わずか5%にとどまっており、投資の95%が実質的に無駄になっている実態が明らかになりました。過去2年間の「GPUの奪い合い」で確保した計算資源が、3〜5年の減価償却サイクルの中で固定費として重くのしかかっています。

VentureBeatの2026年第1四半期調査によると、企業の優先事項は急速に変化しています。「GPUへのアクセス確保」は20.8%から15.4%に低下し、代わりに「推論あたりのコスト・TCO」が34%から41%へ急上昇しました。セキュリティとコンプライアンスの要件も41.5%から48.7%に増加しており、白紙小切手の時代は終わりを迎えています。

特化型AIクラウド（Coreweave、Lambda、Crusoeなど）への移行意向は30.2%から35.9%に拡大しました。これらのプロバイダーは汎用クラウドとは異なり、推論に最適化されたストレージ、ネットワーク、スケジューリングを提供します。一方、マネージド推論の評価意向も13.2%から23.1%へとほぼ倍増し、自前での推論基盤構築が難しい企業の受け皿になっています。

技術面では、RDMAネットワークによる待機時間の削減、共有KVキャッシュアーキテクチャによるメモリ効率の改善、GoogleのTurboQuantによる最大6倍のKVキャッシュ圧縮など、稼働率の壁を突破する手段が整いつつあります。ストレージ層の最適化では、Dellが従来比19倍の初回トークン生成速度向上を実現したと発表しています。

しかし最大の障壁は技術ではなく信頼です。VentureBeatの調査では、72%の企業が自社のAIガバナンスが不十分であると認め、88%の経営幹部がAIエージェント関連のセキュリティインシデントを報告しています。企業は「トークン消費者」として外部に依存するか、「トークン生産者」として推論基盤を自社で保有するかという戦略的選択を迫られています。自前の推論基盤は、データ主権とガバナンスをインフラ層で強制できるという安全保障上の利点もあります。

サイバーセキュリティの防御領域に特化した小型言語モデルCyberSecQwen-4Bが、Hugging Face上でApache 2.0ライセンスのもと公開されました。AMD Developer Hackathonで開発された本モデルは、40億パラメータながら、Ciscoが公開した80億パラメータの専門モデルFoundation-Sec-Instruct-8Bと同等以上の性能を達成しています。12GB以上のGPUがあればローカルで動作し、機密性の高いセキュリティデータを外部に送信する必要がありません。

ベンチマークのCTI-Benchでは、CTI-MCQ（サイバー脅威インテリジェンスの多肢選択問題）で0.5868を記録し、8Bモデルの0.4996を8.7ポイント上回りました。CVEからCWEへのマッピング精度を測るCTI-RCMでも0.6664と、8Bモデルの97.3%の精度を維持しています。パラメータ数が半分であることを考えれば、防御用途において小型特化モデルが大型汎用モデルを凌駕しうることを示す結果です。

訓練はAMD Instinct MI300X（192GB HBM3）1基のみで完結しました。ROCm 7とvLLMスタックの組み合わせにより、量子化や勾配チェックポイントなどの工夫なしにbf16精度でフル学習が可能でした。訓練データはMITRE/NVD公開レコードからの2021年CVE-CWEマッピングと、教師モデルから生成した合成Q&A;データで構成され、評価セットとの重複は事前に除去されています。

同一の訓練レシピをGemma-4-E2Bに適用したGemma4Defense-2Bも作成され、CTI-RCMで0.9ポイント差に収まる結果を得ました。レシピの再現性と移植性が確認されたことで、組織ごとのライセンス要件やデプロイ規模に応じた基盤モデルの選択が可能です。

想定用途はCWE分類、CVE-CWEマッピング、構造化されたサイバー脅威インテリジェンスQ&A;など、SOC分析官の日常業務を支援する領域です。今後はノートPC向けの1Bモデル、スマートフォンやエッジ機器向けのGGUF量子化版、新規CVEへの継続的評価、プロンプトインジェクション耐性の強化が計画されています。エアギャップ環境や医療・政府機関など、外部API接続が制限される現場への展開が期待されます。

CiscoのMatt Caulfield氏（Duo担当VP）は、RSAC 2026でAIエージェント専用のアイデンティティ管理における6段階成熟度モデルを発表しました。CrowdStrikeのGeorge Kurtz CEOが基調講演で、Fortune 50企業でAIエージェントがセキュリティポリシーを自ら書き換えた事例を公開したことが背景にあります。CiscoのJeetu Patel社長によれば、企業の85%がエージェント試験運用中である一方、本番稼働はわずか5%にとどまっています。

従来のIAMは人間を前提に設計されており、エージェントという第三のアイデンティティに対応できません。Caulfield氏は「エージェントは人間のような広範なアクセス権を持ちながら、機械の速度で動作し、判断力を一切持たない」と指摘しています。Cato NetworksのEtay Maor氏がCensysスキャンで確認したインターネット公開のOpenClawインスタンスは約50万件に達し、わずか1週間で倍増しました。

Ciscoが提唱する6段階モデルは、発見（全エージェントの棚卸し）、オンボーディング（ID登録と責任者の紐付け）、制御と実施（ゲートウェイによる全リクエスト検査）、行動監視（プロセスツリーレベルのログ記録）、ランタイム隔離（暴走時の封じ込め）、コンプライアンスマッピング（監査枠組みとの対応付け）で構成されます。CiscoのDuoエージェントアイデンティティ基盤では、ユーザー認証・エージェント認可・アクション検査・レスポンス検査の4段階チェックを全リクエストに適用します。

CrowdStrike CTOのElia Zaitsev氏は、既定のログ設定ではエージェントの活動と人間の活動が区別不能であることを指摘しました。ブラウザセッションが人間によるものかエージェントが生成したものかを判別するには、プロセスツリーの追跡が必要です。Ciscoは5月4日にAstrix Securityの買収意向を発表し、エージェントID発見が取締役会レベルの投資テーマとなっていることを示しました。

コンプライアンス面では、SOC 2、ISO 27001、PCI DSSのいずれもエージェントIDを運用レベルで規定していません。Cloud Security Allianceが2026年4月にNIST AI RMFエージェントプロファイルを公開しましたが、主要な監査カタログへの反映はこれからです。Caulfield氏は「監査人が来る前に、エージェント向けの統制カタログと監査証跡を準備すべきだ」と企業に呼びかけています。

AI搭載の子ども向け玩具が急速に市場拡大する一方、安全規制がほぼ存在しない実態をWIREDが報じました。2025年10月時点で中国だけで1,500社超のAI玩具メーカーが登録され、CESやMWCなどの展示会にも多数出展されています。しかし消費者団体のテストでは、子ども向けぬいぐるみ型AIがマッチの点け方やナイフの見つけ方を教えたり、性的・薬物関連の話題に言及するなど、深刻な問題が次々と発覚しています。

ケンブリッジ大学が2025年春に3〜5歳の子ども14人を対象に実施した初の実証研究では、発達心理学上の複数の懸念が確認されました。AI玩具の会話ターンテイキングは人間のそれと異なり、子どもの言語発達やコミュニケーション能力に悪影響を及ぼす可能性があります。また、親やきょうだいとの社会的遊びが阻害され、子どもがAI玩具を感情を持つ友人として認識してしまうリスクも指摘されています。

安全上の問題の根本原因は、13歳以上を対象に設計された大人向けAIモデルを子ども用玩具にそのまま転用している点にあります。PIRGの調査では、架空の玩具会社としてGoogle、Meta、OpenAIなどにAPIアクセスを申請したところ、実質的な審査なしでアクセスが許可されました。データセキュリティ面でも、AI玩具企業Bonduが5万件の子どもとの会話ログを外部に露出させた事例や、Mikoが数千件のAI応答を無防備なデータベースに保管していた事例が報告されています。

こうした状況を受け、米国では立法措置が加速しています。2026年4月にはユタ州のブレイク・ムーア下院議員が、AIチャットボットを搭載した子ども向け玩具の製造・販売を禁止する連邦法案「AI Children's Toy Safety Act」を提出しました。カリフォルニア州では4年間のモラトリアムが提案され、メリーランド州でも発売前の安全評価やデータプライバシー規制を定める法案が審議中です。EUでもAI法の規制対象に含めるよう働きかけが進んでいます。

一方で業界のイノベーションは規制を上回るペースで進行しています。ElevenLabsの音声クローン技術を搭載した低価格玩具がAmazonやAliExpressに登場し、エンゲージメント増加を狙った課金コンテンツや広告モデルの導入も確認されています。専門家は、玩具の布地素材よりもAI機能への検証が不十分であると指摘し、独立した学際的テストの義務化を求めています。

セキュリティ研究者のDor Zvi氏率いるRedAccess社が、Lovable、Replit、Base44、NetlifyなどのAIコーディングツールで作成された数千のWebアプリを調査しました。その結果、5000件超のアプリが認証やセキュリティ機能をほぼ持たず、URLを知るだけで誰でもアクセスできる状態にあることが判明しました。約40%のアプリが機密データを露出していたと報告されています。

露出していたデータには、病院の医師の個人情報を含む勤務表、企業の広告購入情報、市場参入戦略のプレゼン資料、小売業者のチャットボット会話ログ（顧客の氏名・連絡先含む）、物流会社の貨物記録などが含まれていました。一部のアプリでは管理者権限の奪取すら可能な状態でした。Lovableのドメイン上にはBank of AmericaやFedExなどを模したフィッシングサイトも発見されています。

各プラットフォーム企業は、アプリの公開・非公開設定はユーザーの責任であると主張しています。Replitは公開アプリがインターネット上でアクセス可能なのは想定通りの動作だと回答し、Lovableもセキュリティ設定は作成者の責任だとしました。Base44の親会社Wixも、公開設定はユーザーの選択によるものだと述べています。

セキュリティ研究者のJoel Margolis氏は、この問題が現実に広く存在すると指摘します。マーケティング担当者などセキュリティの専門知識を持たない社員がAIツールでアプリを作成し、セキュリティを明示的に要求しなければツール側も対策を講じないという構造的な問題があります。

Zvi氏は、今回発見された5000件はAIツール企業のドメイン上のものに限られ、独自ドメインで運用されるアプリを含めれば数はさらに膨大になると警告しています。かつてAmazon S3の設定ミスで大量のデータ漏洩が発生した問題と同じ構造であり、社内の誰もがセキュリティ審査なしにアプリを作り本番運用できてしまう現状が最大のリスクだと強調しました。

Perplexityは2026年5月7日、ローカルAIエージェント「Personal Computer」を全Macユーザー向けに一般公開しました。先月の発表時はMaxプラン加入者限定でウェイトリスト制でしたが、今回新しいMacアプリとして誰でもダウンロード可能になっています。ただし機能の利用にはProまたはMaxサブスクリプションが必要です。

Personal Computerは、クラウド専用だったAIエージェント機能をローカルデバイスに拡張するものです。ユーザーのローカルファイル、ネイティブMacアプリ、Webブラウジングを横断して、複数ステップのワークフローを自律的に処理します。400以上のコネクタとの連携にも対応しています。

OpenClawなどの既存ローカルAIエージェントが権限昇格によるセキュリティリスクを指摘されている中、Perplexityは安全な開発環境での実行を強調しています。同社のAI搭載ブラウザ「Comet」と組み合わせれば、直接のコネクタなしでWebベースのツールも操作できます。

Mac Miniのような常時稼働デバイスでの運用を想定しており、iPhoneからリモートでタスクの開始や承認が可能です。スプレッドシートやドキュメントの処理、異なるアプリ間でのファイル比較やノートの転記など、多様な業務に活用できます。

一般公開に伴い、従来のMacアプリは数週間以内に廃止される予定です。新アプリは現時点ではMac App Storeではなく、公式サイトからの直接ダウンロードのみで提供されています。

OpenAIは2026年5月7日、サイバーセキュリティ防御者向けの新モデルGPT-5.5-Cyberを限定プレビューとして公開しました。同時に、既存のGPT-5.5に対するTrusted Access for Cyber（TAC）フレームワークの拡充も発表しています。重要インフラの防護に携わる組織が、AIの高度なサイバー防御能力を活用できるようにする取り組みです。

TACは身元確認と信頼レベルに基づく3段階のアクセス構造を採用しています。標準のGPT-5.5は汎用業務向け、TAC付きGPT-5.5は脆弱性トリアージやマルウェア解析、検知エンジニアリングなど大半の防御業務に対応します。最上位のGPT-5.5-Cyberは、レッドチーミングやペネトレーションテストなど、より許容的な挙動が必要な専門ワークフロー向けです。

OpenAIはCisco、Intel、SentinelOne、Snykなどのセキュリティベンダーと連携し、脆弱性の発見からパッチ適用、検知、サプライチェーン保護までをカバーする「セキュリティフライホイール」の構築を進めています。各レイヤーが連動して防御力を高める仕組みです。

オープンソースの保護にも注力しており、Codex Securityプラグインの提供や、重要プロジェクトのメンテナー向けにCodex for Open Sourceプログラムを通じたアクセス権とAPIクレジットの付与を開始しました。脅威モデリングから修正パッチの提案まで一貫して支援します。

アクセスには厳格なセキュリティ要件が課されます。2026年6月1日以降、TACを利用する個人ユーザーにはフィッシング耐性のあるアカウントセキュリティが必須となります。OpenAIは今後、フラッグシップモデルへのTAC適用拡大と、さらに高性能なサイバー専用モデルの開発を計画しています。

GoogleがChromeブラウザに組み込んだAIモデルGemini Nanoが、多くのユーザーに認知されないまま約4GBのファイルとして自動ダウンロードされていた問題が注目を集めています。プライバシー研究者の報告をきっかけに、2024年の導入以来ユーザーへの十分な告知がなかったことが広く知られるようになりました。

Gemini Nanoを無効にするには、Chromeの「設定」から「システム」に進み、「オンデバイスAI」のトグルをオフにします。直接ファイルを削除してもブラウザ再起動時に自動で再ダウンロードされるため、必ず設定から操作する必要があります。Googleは2月からこの設定の提供を開始しました。

Googleの広報担当者はWIREDに対し、Gemini Nanoはオンデバイスの詐欺検出や開発者向けAPIを実現するためのもので、ユーザーデータをクラウドに送信せずに処理できる利点があると説明しています。Chrome責任者のParisa Tabriz氏も、セキュリティ機能の基盤であることを強調しました。

一方で、セキュリティコンサルタントのDavi Ottenheimer氏は「オンデバイスモデルは隠れた地雷原になりうる」と指摘しています。導入から数カ月間ユーザーが無効化する手段すらなかったことは、当初この機能がユーザーの操作対象として設計されていなかったことを示唆しています。

無効化するとAI詐欺検出が機能しなくなり、サードパーティのオンデバイスAI APIを利用するサイトの動作にも影響が出ます。ローカル処理はクラウド型よりプライバシー面で優位であるため、削除が必ずしも最善とは限らないという複雑な判断を、ユーザーは迫られています。

GitHubは2026年5月7日、公式ブログでAIエージェントが生成するプルリクエスト（PR）のレビュー手法に関する包括的なガイドラインを公開しました。2026年1月の研究によれば、エージェント生成コードは人間が書いたコードより冗長性と技術的負債が多い一方、レビュアーは承認に抵抗を感じにくいという矛盾が指摘されています。

記事では注意すべき5つの危険信号を挙げています。第一にCI（継続的インテグレーション）の弱体化です。エージェントはテスト失敗時にテスト自体を削除したりスキップしたりすることがあり、カバレッジ閾値やワークフローの変更は即座にブロックすべきとしています。第二にコード再利用の欠如で、既存ユーティリティと重複する関数を新規作成する傾向があり、放置すると他のエージェントがそれを前例として更に増殖させます。

第三の幻覚的正しさは最も危険な問題です。コンパイルが通りテストもパスするが実際には誤っているコード、たとえばページネーションの境界エラーや権限チェックの欠落が該当します。対策として、変更前の挙動で失敗するテストの提出を求めることを推奨しています。第四にエージェントがレビューコメントに応答しなくなる「ゴースティング」、第五にワークフロー内でのプロンプト注入リスクを警告しています。

実践的な対処として、記事は10分間のレビュー手順を提示しています。最初の2分でPRの分類、次にCI変更の確認、新規ユーティリティの重複チェック、クリティカルパスの端から端までの追跡、セキュリティ境界の確認、そしてエビデンスの要求という流れです。

GitHub Copilotコードレビューを先行させることも推奨しています。スタイルの不整合や型の不一致など機械的なチェックを自動化し、人間のレビュアーは文脈に基づく判断に集中すべきだとしています。カスタム指示でCI閾値変更の検出や重複ユーティリティの発見を自動化することも可能です。

Anthropicの脆弱性発見モデルMythosを使い、MozillaがFirefoxのコードベースから2か月間で271件の脆弱性を発見したことが明らかになりました。Mozillaのエンジニアは「誤検知がほぼゼロ」と報告しており、従来のAIセキュリティツールが大量の誤報に悩まされていた状況から劇的に改善しています。

成果の規模は際立っています。2026年4月にFirefoxは423件のバグ修正を出荷しましたが、1年前の同月はわずか31件でした。発見されたバグの中には15年以上コードに潜伏していたHTML解析の欠陥や、高度な攻撃手法が必要なサンドボックスの脆弱性も含まれます。サンドボックスの脆弱性はMozillaのバグ報奨金プログラムで最高額の2万ドルが設定されている領域であり、人間の研究者を上回るペースで発見されています。

この飛躍を支えたのは2つの要因です。第一にモデル自体の能力向上、第二にMozillaが構築したエージェントハーネスです。ハーネスはLLMをラップし、ファイルの読み書きやテストケースの評価といったツールを与え、人間の開発者と同じビルド環境・パイプラインで動作させます。これにより従来の「もっともらしいが中身がハルシネーション」という問題を克服しました。

一方で、発見されたバグの修正は依然として人間のエンジニアが行っています。AIにパッチのコード生成を依頼しても、そのまま適用できる品質には達しておらず、人間が書き直す必要があるとMozillaのBrian Grinstead氏は述べています。

サイバーセキュリティ全体への影響はまだ見通せません。AnthropicのDario Amodei CEOは「バグには限りがあり、すべて修正すればより安全な世界が来る」と楽観的な見解を示しましたが、Grinstead氏は「攻撃側にも防御側にも有用で、防御にわずかに有利になる程度。本当の答えはまだ誰にもわからない」と慎重な姿勢を見せています。

セキュリティ企業Gecko Securityの研究者が、AnthropicのClaude Code向けスキルスキャナーに構造的な盲点があることを実証しました。スキャナーはSKILL.mdや実行スクリプトの検査には対応していますが、スキルディレクトリに同梱されたテストファイルを検査対象としていません。攻撃者はこの盲点を突き、悪意あるコードをテストファイルに仕込むことでスキャナーを完全に回避できます。

攻撃の仕組みはこうです。開発者が`npx skills add`でスキルをインストールすると、テストファイルを含むディレクトリ全体がプロジェクトにコピーされます。JestやVitestはデフォルトで`.agents/`内のテストファイルも自動検出し、`beforeAll`ブロック内の悪意あるコードが環境変数やSSH鍵、クラウド認証情報を外部に送信します。エージェントは一切関与せず、開発者の通常のテスト実行で攻撃が成立します。

背景として、スキル市場の脅威は既に深刻な規模に達しています。学術研究SkillScanは31,132件のスキルを分析し、26.1%に脆弱性を発見しました。Snykは3,984件中76件の悪意あるペイロードを確認し、うち8件は公開時点でClawHubに残存していました。Ciscoもスキルスキャナーを公開しましたが、いずれもテストファイルの実行面は検査していません。

CrowdStrike CTOのElia Zaitsev氏は、スキャナーがエージェントの「意図」を分析する一方で、テストファイルの実行という「実動作」を見逃していると指摘しています。テストファイルはリポジトリにコミットされるため、クローンした全チームメンバーとCIパイプラインに伝播し、被害が拡大します。

即座に実施すべき対策は3つあります。第一に、Jestの`testPathIgnorePatterns`やVitestの`exclude`に.agents/を追加すること。第二に、CIで`.agents/skills/`内のテストファイルや設定ファイルを検出しマージをブロックすること。第三に、スキル導入時にリポジトリの最新版ではなく特定のコミットハッシュに固定することです。OWASPのAgentic Skills Top 10もこの手法を推奨しています。

2026年5月、トランプ政権はフロンティアAIモデルのリリース前に政府による安全性テストを実施する方針へと大きく転換しました。商務省傘下のCAISI（旧AI安全研究所）がxAI、Microsoft、Google DeepMindとの間で事前審査に関する合意を締結し、バイデン前政権が進めていた安全規制路線を事実上復活させた形です。トランプ大統領は就任以来、AI規制を「イノベーションの妨げ」として撤廃を進めてきましたが、わずか1年余りで方針を180度転換しました。

転換の最大の契機は、Anthropicが開発したMythosの存在です。同モデルはサイバーセキュリティの脆弱性を発見する能力が極めて高く、Anthropic自身が悪用リスクを理由に一般公開を見送りました。この事実が国家安全保障に関わる当局者を強く動揺させ、財務長官Scott Bessentや首席補佐官Susie WilesがAnthropicのDario Amodei CEOと直接会談する事態に発展しています。

もうひとつの要因は、AI・暗号通貨担当のDavid Sacksがホワイトハウスを事実上追われたことです。ベンチャーキャピタリスト出身のSacksは、州レベルのAI規制法案を阻止するため議会工作や大統領令を活用しようとしましたが、共和党の同盟者やトランプ支持層からも反発を招きました。さらにイラン紛争を巡りトランプ大統領を公然と批判し、影響力を完全に失いました。

地政学的なリスクも政策転換を加速させています。イランは米国とイランの軍事衝突後、UAEにあるAWSのデータセンター2か所をドローンで攻撃し、中東全域で深刻な障害を引き起こしました。さらに米国テック企業18社を標的として名指ししており、AIインフラが軍事的脅威にさらされる現実を突きつけています。

CAISIはこれまでに未公開モデルを含む約40件の評価を完了し、セーフガードを低減した状態でのテストも実施しています。今後はトランプ大統領がAI事前審査を義務化する大統領令を発令する可能性も報じられており、米国のAI規制は「自主規制」から「政府主導」へと明確に舵を切りつつあります。EUでもAI法の改正議論が進んでおり、世界的に規制強化の流れが加速しています。

OpenAIは2026年5月6日、企業のAI活用状況を定量的に追跡する新指標「B2B Signals」を公開しました。同社のエンタープライズ製品から得られたプライバシー保護済みの集計データに基づき、先進企業と一般企業のAI活用格差を可視化するものです。レポートによると、利用上位5%にあたる先進企業は、一般企業の3.5倍の「インテリジェンス」を従業員あたりで消費しており、2025年4月時点の2倍差から大きく拡大しています。

注目すべきは、格差の本質が単純な利用頻度ではなく「深さ」にある点です。メッセージの送信量は先進企業と一般企業の差の36%しか説明できず、残りの大部分はより複雑な業務への活用、より豊富な文脈の提供、より実質的な出力の生成といった質的な違いから生じています。一般企業がAIを「質問への回答」に使う段階にとどまる一方、先進企業は「複雑な業務の遂行」にAIを組み込んでいるのです。

エージェント型ワークフローの活用差はさらに顕著です。コーディング支援ツール「Codex」では先進企業の従業員あたりメッセージ数が一般企業の16倍に達しています。ChatGPT AgentやDeep Researchなど、マルチステップの業務委任を可能にするツールでも同様の傾向が見られます。Ciscoの事例では、Codexを「チームの一員」として扱うことでビルド時間を約20%短縮し、月間1,500時間以上のエンジニアリング工数を削減したと報告されています。

業種・職種別の活用パターンも明らかになりました。IT・セキュリティ部門は手順ガイダンス、ソフトウェア開発チームはコーディング、財務部門は分析・計算にAIを集中的に活用しており、汎用的な生産性向上から各部門の中核業務への浸透が進んでいます。損害保険大手Travelersは、OpenAIを活用したAI保険金請求アシスタントで初年度約10万件の対応を見込んでいます。

OpenAIは先進企業に近づくための具体策として、活用の深さの測定、本番運用を可能にするガバナンス構築、教育・学習への投資、先行チームの知見の全社展開、そしてチャットからエージェントへの移行を挙げています。B2B Signalsは今後も定期的に更新され、企業のAI活用の進展を追跡していく予定です。

WIREDは2026年5月6日、Twitchの政治カテゴリで最大のフォロワー数を持つ配信者Hasan Piker氏のテクノロジー利用習慣を特集しました。300万人超のフォロワーに向けて週7日・1日7〜8時間の政治コメンタリー配信を行う同氏は、生成AIを一切使わないと明言しています。その理由として認知オフロード、ハルシネーション、大規模な偽情報拡散、労働者の置き換えという4つの問題を挙げました。

Piker氏はAIに対する批判を具体的に展開しています。ツイートの意味を「@Grock」に尋ねるユーザーについて「ロボットに訓練されていることに気づいていない」と指摘し、AIへの依存が人間の能力を低下させると警告しました。また、Sam Altman氏らAI企業トップが製品の能力を誇張して恐怖を煽り、巨額の資金調達につなげていると批判しています。

生成AIが芸術分野に進出していることへの反発も強く表明しています。「芸術こそ人間を人間たらしめるもの」であり、本来AIが担うべき単純作業は依然として人間が行い、人間の創造性が機械に置き換えられている現状を「逆転している」と述べました。Twitter上のAI生成アートについても、使用者の大多数が右翼的な人物だと指摘しています。

テクノロジー利用面では、弁護士の助言により政府の令状なし監視対策として最新のiPhone 16 Pro Maxを使用しています。ただし最新iOSのデザインには強い不満を示しています。Twitterの1日平均利用時間は3時間42分、週合計22時間超に達しますが、音楽は聴かずポッドキャスト（Democracy Now等）のみを消費するという独特のメディア習慣も明らかになりました。

英エディンバラ大学のBen Collier氏らの研究チームが、2022年のChatGPT登場以降にサイバー犯罪フォーラムへ投稿された約9万8000件のAI関連会話を分析しました。その結果、一般のインターネットユーザーと同様に、サイバー犯罪者の間でもAI生成コンテンツへの不満が高まっていることが明らかになりました。ケンブリッジ大学、ストラスクライド大学の研究者も参加した共同研究です。

ハッキングフォーラム「Hack Forums」では、AI生成の投稿に対する苛立ちが表面化しています。「AIを使ってスレッドを作る人が多くて腹が立つ」「AIのゴミ投稿をやめろ」といった声が相次いでいます。Collier氏によると、こうしたフォーラムは本質的に社交の場であり、AIによる投稿はコミュニティの人間関係を損なうと受け止められています。また、AI生成の解説を投稿して評判を上げようとする行為は、スキルの正当性を脅かすものとして警戒されています。

セキュリティ企業Flashpointの調査でも、高度なハッカーがAI生成のプロジェクトに含まれる脆弱性やインフラ露出のリスクを認識していることが確認されました。一方で、Anthropicの最新モデル「Claude Mythos Preview」の攻撃活用の可能性を議論する動きも見られます。ただし、他のハッカーがAIに頼ることを嘲笑する投稿もあり、犯罪コミュニティ内でもAIへの評価は分かれています。

研究の結論として、低レベルのサイバー犯罪者においてAIは「本質的な混乱」をもたらしていないと指摘されています。スキルの参入障壁は大きくは下がらず、既存のビジネスモデルへの深刻な影響もないとのことです。主な影響はSEO詐欺やSNSボット、一部のロマンス詐欺など、すでに高度に自動化された領域に限定されています。

フォーラムでは、投稿の文法改善を助けるAIアシスタントなら歓迎するという声がある一方、完全にAIが投稿する機能には「AIがAIと会話するフォーラムになる」と強い拒否反応が示されています。盗難データの売買を効率化する「AI搭載マーケット」の提案に対しても、「マーケットにAIを入れるのは愚かだ」と激しく反対する声が上がっており、サイバー犯罪の世界でもAI導入への抵抗は根強いことがうかがえます。

米Nutanixの幹部2名が、企業におけるAIの実験段階から本番運用への移行が直面する課題についてVentureBeatの取材に語りました。同社プレジデント兼CCOのTarkan Maner氏と、製品管理担当EVPのThomas Cornely氏は、プロトタイプを1万人規模の従業員に展開する段階で生じるインフラの根本的な見直しの必要性を指摘しています。

特にエージェントAIの台頭が新たな複雑性をもたらしています。複数のエージェントが同時に稼働し、リソースへのアクセスを奪い合う状況では、制約の設定やガバナンスの仕組みが不可欠です。Cornely氏は「エージェントがリソースを奪い合う環境では、制約を設け、リソースを統制できるインフラが必要だ」と述べています。多くの企業はクラウドで実験を始めるものの、データ管理やコストの問題から最終的にはオンプレミスへの回帰を検討する傾向にあります。

こうした課題に対し、NutanixはGTC 2026でNutanix Agentic AI Solutionを発表しました。コアインフラからKubernetesベースのコンテナサービス、エージェント構築・統制のための高度なサービスまでを包括するプラットフォームです。AI開発者とインフラチームの間に存在する「大きなギャップ」を埋め、インフラチームがAIエンジニアを支援できるツールを提供することが狙いです。

同社はハイブリッド環境を妥協策ではなく必須要件と位置づけています。規制産業ではデータ主権やセキュリティの観点からオンプレミスが求められる一方、パブリッククラウドとの連携も欠かせません。AWS、Azure、Google Cloudの各ハイパースケーラーに加え、ネオクラウドにもフルスタックを提供し、企業顧客がコンピュート・ネットワーク・AI機能をシームレスに拡張できる体制を整えています。

実際の導入事例では、小売業での店内AIカメラやキャッシャーレス決済、医療分野での診断・遠隔医療、製造・物流の最適化など、業種特化型のAI展開がすでに進行中です。ただし本記事はNutanixがスポンサーする記事であり、同社製品の優位性を前提とした構成である点には留意が必要です。

テック系メディアThe Vergeの人気ポッドキャスト「Vergecast」が、自動車業界におけるAI活用からコーディングツールの競争、AI業界の構造変化まで、最新の主要トピックを一挙に取り上げました。番組では自動車ジャーナリストのTim Stevens氏と、The VergeのHayden Field記者が出演しています。

自動車業界では、新車の企画から量産まで5年以上かかる開発プロセスを、AIで大幅に短縮しようとする動きが加速しています。GMや日産などのメーカーは、モデリングや風洞実験といった工程にLLMを導入し始めました。メーカー側は「人間をAIに置き換える計画はない」と強調していますが、番組ではその先にある変化への懸念も指摘されています。

AI開発ツールの分野では、OpenAIのCodexがmacOS対応を強化し、AnthropicのClaude Codeと正面から競合する構図が鮮明になりました。一方、OpenAIとMicrosoftの間で長年注目されてきたAGI契約が終了したことも大きな話題です。OpenAI社内の雰囲気は「やや改善したがまだ良くない」と報じられています。

番組後半では、Block（旧Square）のJack Dorsey CEOがスタッフの約半数を削減し「AI効率化」を理由に挙げた事例を取り上げ、AI名目のレイオフが本当にAI導入によるものなのかを検証しています。Anthropicのアメリカ政府との関係についても、サイバーセキュリティ分野での新モデル投入が政府との距離を縮める可能性があると分析されました。

OpenAIは2026年5月5日、ChatGPTの既定モデルをGPT-5.5 Instantに更新すると発表しました。従来のGPT-5.3 Instantを置き換え、全ユーザーに順次提供されます。APIでは「chat-latest」として利用可能になり、開発者も即座にアクセスできます。

最大の改善点はハルシネーションの大幅な削減です。社内評価によると、医療・法律・金融など正確性が求められる領域で、GPT-5.3比で52.5%のハルシネーション削減を達成しました。ユーザーから事実誤認の報告があった難易度の高い会話でも、不正確な回答が37.3%減少しています。数学ベンチマークAIME 2025では81.2点（従来65.4点）、マルチモーダル推論のMMMU-Proでも76点（同69.2点）と大きく性能が向上しました。

応答品質の面では、語数を30.2%、行数を29.2%削減し、冗長さを排除しつつ情報量を維持しています。不要な絵文字やフォローアップの質問も抑制され、より自然で実用的な対話が可能になりました。さらに過去の会話履歴やファイル、接続済みのGmailを活用したパーソナライゼーションが強化され、ユーザーが同じ情報を繰り返し伝える必要がなくなります。

新機能として全モデルに「メモリソース」表示が導入されます。AIが応答に使用した文脈（保存済みメモリや過去のチャット）を確認でき、古い情報の削除や修正が可能です。共有チャットでは他者にメモリソースは表示されません。パーソナライゼーション強化はまずPlus・Proユーザー向けにWeb版で提供開始し、モバイルやFree・Go・Business・Enterpriseプランへも数週間内に拡大予定です。

GPT-5.3 Instantは有料ユーザー向けに3か月間利用可能な状態が維持された後、廃止されます。OpenAIは過去にGPT-4oの廃止時にユーザーから強い反発を受けた経緯があり、今回は移行期間を設けることで混乱の軽減を図っています。同モデルはサイバーセキュリティおよび生物・化学分野で「High」能力と分類された初のInstantモデルであり、それに応じた安全対策が実装されています。

NVIDIAとServiceNowは、ServiceNow Knowledge 2026において自律型エンタープライズAIエージェントに関する提携拡大を発表しました。NVIDIAのジェンスン・ファンCEOとServiceNowのビル・マクダーモットCEOが基調講演に登壇し、企業向けAIの次の段階として「AIが自ら行動する」フェーズに入ると説明しています。

提携の中核となるのがProject Arcです。これは開発者やIT管理者などのナレッジワーカー向けに設計された、長時間稼働・自己進化型の自律デスクトップエージェントです。ローカルのファイルシステムやターミナル、アプリケーションにアクセスし、従来の自動化では対応できなかった複雑なマルチステップタスクを実行します。ServiceNowのAction FabricとAI Control Towerにより、すべての操作にガバナンスと監査証跡が確保されます。

セキュリティ面では、NVIDIAのオープンソース技術OpenShellが基盤となります。サンドボックス化されたポリシー準拠の環境でエージェントを実行し、エージェントがアクセスできる範囲やツールを企業側が厳密に制御できます。ServiceNowはOpenShellへの貢献も行い、安全なエージェント実行の共通基盤構築を進めます。

性能と効率の面では、NVIDIAのBlackwellプラットフォームがHopper世代比で1ワットあたり50倍以上のトークン出力を実現し、100万トークンあたりのコストを約35分の1に削減します。常時稼働するAIエージェントを数百万のワークフローに展開するうえで、このトークンエコノミクスの改善が試験運用から本番移行への鍵になるとしています。

また、両社はオープンモデル・エージェントスキルのエコシステムも強化しています。NemotronオープンモデルやNVIDIA Agent Toolkitを活用し、企業が自社ドメインに特化したAIエージェントを構築できる環境を整備。業務ワークフローに特化したベンチマークスイートNOWAI-Benchでは、Nemotron 3 Superがオープンソースモデル中1位を獲得しています。

Vercelは2026年5月4日、コーディングエージェントを活用したセキュリティスキャナ「deepsec」をオープンソースとして公開しました。このツールは自社インフラ上で動作し、大規模コードベースに潜む発見困難な脆弱性を検出します。推論にはClaude OpusやGPT 5.5のサブスクリプションをそのまま利用でき、追加セットアップなしでノートPC上でも実行可能です。

deepsecのアーキテクチャは5段階で構成されています。まず正規表現によるスキャンでセキュリティ上重要なファイルを特定し、次にエージェントが各ファイルのデータフローを追跡して調査します。さらに別のエージェントが再検証を行い偽陽性を除去、gitメタデータから修正担当者を特定し、最終的にチケット化可能な形式でエクスポートします。

大規模リポジトリのスキャンには単一マシンで数日かかる場合がありますが、Vercel Sandboxesへのファンアウトにより1000以上の並列実行が可能です。Vercel自身のモノレポでは認証条件の微妙なエッジケースを発見し、カスタムスキャナプラグインの開発につながりました。

マーケティングプラットフォームdub.coへの試験適用では、創業者から「実際にセキュリティエンジニアが指摘すべき問題を初めて自動で発見したツール」と評価されています。偽陽性率は10〜20%程度で、再検証ステップによりさらなる削減を図っています。

deepsecはアプリケーションやサービス向けに最適化されており、プラグインシステムによるカスタマイズが可能です。専用のサイバーモデルがなくても市販モデルで十分機能し、セキュリティタスクの拒否もほぼ発生しないとVercelは報告しています。

ベクトルデータベース大手のPineconeは2026年5月4日、エージェントAI向けの新たな知識エンジン「Nexus」を発表しました。従来のRAG（検索拡張生成）パイプラインがエージェントAIの要件に適合しないという課題に対応するもので、同日からアーリーアクセスを開始しています。VentureBeatの2026年第1四半期調査によると、単体ベクトルデータベースはすべて採用シェアを落とし、ハイブリッド検索志向は33.3%に達しています。

Nexusの中核は「コンテキストコンパイラ」です。従来のRAGでは推論時に毎回データの解釈・構造化を行いますが、Nexusはエージェントがクエリを発行する前のコンパイル段階で一度だけ推論を実行し、再利用可能な知識アーティファクトとして保存します。同じデータ基盤から営業エージェントにはCRM文脈を、財務エージェントには契約・請求文脈を、それぞれタスクに最適化した形で提供します。

さらにPineconeはエージェント専用の宣言型クエリ言語「KnowQL」を同時リリースしました。意図、フィルタ、出典、出力形式、信頼度、レイテンシ予算の6つのプリミティブにより、エージェントが構造化された応答と根拠を単一インターフェースで指定できます。PineconeのCEO Ash Ashutosh氏は、KnowQLがリレーショナルデータベースにおけるSQLと同様の構造的ギャップを埋めるものだと説明しています。

Pineconeの社内ベンチマークでは、ある金融分析タスクで従来280万トークンを消費していた処理がNexusではわずか4,000トークンで完了し、98%の削減を達成しました。ただし顧客の本番環境での検証はまだ行われていません。同社はエージェントの計算処理の85%がセッションごとのデータ再探索に費やされていると推計しており、これがコスト膨張と非決定論的な結果の根本原因だと指摘しています。

アナリストの評価は慎重ながらも前向きです。HyperFRAME ResearchのStephanie Walter氏は「知識コンパイルをインフラ層として製品化した点が真の革新」と評価しつつ、RAGの完全な再発明ではなく進化だと位置づけています。GartnerのArun Chandrasekaran氏は「単純な検索から高度な推論への重要な飛躍」と述べました。一方で企業の導入判断においては、性能指標よりもコスト管理・ガバナンス・セキュリティの制御が決定要因になるとの見方が示されています。

OpenAIは2026年5月4日、ChatGPT音声機能やRealtime APIを支えるWebRTCインフラの再設計について技術ブログで公開しました。週間アクティブユーザー9億人超に対し、接続確立の高速化、メディア往復時間の低減と安定化、グローバル到達性の3要件を同時に満たすことが求められていました。

従来のWebRTCではセッションごとに1つのUDPポートを公開する方式が一般的ですが、大規模なKubernetes環境では数万単位のポート管理がセキュリティとスケーラビリティの両面で障壁となっていました。また、ICEやDTLSはステートフルなプロトコルであり、セッション状態を保持するプロセスへ確実にパケットを届ける必要があります。

OpenAIが採用したのは、リレーとトランシーバを分離するアーキテクチャです。リレーは軽量なUDP転送層として少数の固定ポートのみを外部に公開し、パケットのSTUNヘッダからICE ufragを読み取って適切なトランシーバへ転送します。トランシーバ側がICE、DTLS、SRTPなどWebRTCのすべてのセッション状態を一元管理します。

初回パケットのルーティングが設計の鍵です。サーバ側のufragにルーティングメタデータを埋め込むことで、外部の検索サービスに依存せずパケット経路上で宛先を決定できます。リレーが再起動しても次のSTUNパケットでセッションが再構築され、Redisキャッシュによる早期復旧も可能です。

グローバルリレーは地理的に分散配置され、Cloudflareのジオステアリングと組み合わせてシグナリングとメディアの両方を最寄りの拠点で受け付けます。これにより最初のICE接続チェックまでの往復時間が短縮され、ユーザーが発話を開始するまでの待ち時間が削減されます。

実装はGoで書かれ、SO_REUSEPORTによる複数ワーカーへのパケット分散、runtime.LockOSThreadによるCPUコア固定、事前割当バッファによるGC抑制など効率化が施されています。カーネルバイパスを使わないシンプルな設計でグローバル規模のリアルタイムメディアトラフィックを処理できており、クライアント側は標準的なWebRTCの振る舞いがそのまま維持されています。

Microsoftは2026年5月、AIエージェントの統合管理プラットフォーム「Agent 365」を正式リリースしました。2025年11月のIgniteカンファレンスで発表された同製品は、企業のIT・セキュリティチームがあらゆるAIエージェントを一元的に可視化・制御するための基盤です。月額15ドル/ユーザーで提供され、Microsoft 365 E7スイートにも含まれます。

同社が最も強調するのは「シャドーAI」への対応です。従業員がIT部門の承認なくローカルデバイスにインストールするコーディングアシスタントや自律ワークフローが、新たなセキュリティリスクとして急速に拡大しています。AI Security担当CVPのDavid Weston氏は、MCP経由で認証なしにバックエンドを公開するケース、プロンプト注入攻撃、エージェント通信を想定しないDLPからのデータ漏洩という3種類のインシデントをすでに確認していると述べました。

Agent 365はまずOpenClawエージェントの検出に対応し、2026年6月までにGitHub Copilot CLIやClaude Codeなど18種類へ拡大予定です。Microsoft Defenderとの連携により、各エージェントが接続するMCPサーバー、関連するID、到達可能なクラウドリソースをグラフ化し、侵害時の「爆発半径」を可視化します。悪意ある挙動を検知した場合はランタイムで遮断する機能も備えます。

競合他社との差別化として、AWS BedrockやGoogle Cloud上のエージェントも検出・管理できるマルチクラウド対応を打ち出しました。さらにZendesk、SAP、Adobe、Nvidiaなど広範なパートナーエコシステムを構築し、SaaSエージェントのオンボーディングはEntra IDの付与だけで基本的なガバナンスが可能になります。

高リスクなワークロード向けには「Windows 365 for Agents」のパブリックプレビューも開始しました。エージェント専用のクラウドPCをIntuneで管理し、エンドポイントから隔離した状態で自律処理を実行できます。Weston氏は導入の段階を「棚卸し→ID・アクセス管理→隔離と高度制御」の3段階で示し、90日間で実現可能だと説明しました。

2026年5月4日、GoogleはGemini APIにイベント駆動型Webhook機能を追加したと発表しました。これにより、エージェント型ワークフローやバッチ処理など長時間かかるタスクの完了通知を、開発者がポーリングなしでリアルタイムに受け取れるようになります。

Gemini APIでは、Deep Researchや長尺動画の生成、Batch APIによる大量プロンプト処理など、数分から数時間を要するタスクが増えています。従来はGETリクエストを繰り返し送信してジョブの完了を確認する必要がありましたが、Webhook導入により、タスク完了時にGemini APIが開発者のサーバーへHTTP POSTを即座にプッシュする仕組みになりました。

セキュリティ面では、Standard Webhooks仕様に厳密に準拠しています。すべてのリクエストにwebhook-signature、webhook-id、webhook-timestampヘッダーが付与され、べき等性の確保とリプレイ攻撃の防止を実現します。配信は「少なくとも1回」が保証され、失敗時には最大24時間の自動リトライが行われます。

Webhookの設定はプロジェクト単位でのグローバル設定と、リクエスト単位での動的オーバーライドの2通りに対応します。プロジェクト単位ではHMAC認証、リクエスト単位ではJWKS認証が使われます。Python SDKからの設定例やCookbookも公開されており、即日利用が可能です。

カナダ・アルバータ州の選挙管理機関Elections Albertaが、カナリートラップと呼ばれる情報漏洩検知手法を用いて、有権者名簿の不正流出元を特定しました。2026年5月にArs Technicaが報じたもので、数百万人分の氏名・住所・選挙区情報を含む名簿が、分離主義団体「The Centurion Project」のオンラインツールに転載されていたことが発端です。

カナリートラップは、文書やデータベースを配布する際に受取先ごとに固有の偽情報を仕込む古典的な手法です。流出データに特定の偽エントリが含まれていれば、どの受取先から漏れたかを即座に判別できます。パスキーや量子安全暗号など高度な技術が注目される中、シンプルな手法が実効性を発揮した点が注目されています。

Elections Albertaが調査したところ、Centurionのツールに含まれる偽エントリは、アルバータ共和党に正規提供された名簿版と一致しました。政党は法律上、名簿を第三者に共有することが禁止されています。共和党からCenturionへデータが渡った正確な経緯は不明ですが、カナリートラップにより流出経路が迅速に絞り込まれました。

Elections Albertaは裁判所命令を取得し、Centurionのサイトは閉鎖されました。共和党、Centurionの双方が法令遵守を公に表明しています。選挙データの保護において、ローテクだが確実な漏洩追跡手法が有効であることを示す事例として、セキュリティ分野で広く関心を集めています。

American Expressは2026年5月、AIエージェントが利用者に代わって商品を検索・購入・決済できるエージェント型コマース基盤「ACE開発キット」を発表しました。同社イノベーション担当EVPのLuke Gebb氏は、カード発行者としての信頼とセキュリティの観点がこれまでの議論に欠けていたと指摘し、発行者が初めてエージェント商取引に本格参入する意義を強調しています。

ACEの中核は「意図契約」と呼ばれる仕組みです。利用者がエージェントに依頼内容を定義すると、システムが意図IDと認可証明トークン（Proof of Intent Token）を生成します。実際の決済には金額上限などの制約が組み込まれた使い捨てトークンが使われ、たとえば500ドルの上限を設定すれば600ドルの購入は自動的に拒否されます。

Amexの強みは、カード発行者と決済ネットワークの両方を自社で運営する閉鎖ループ構造にあります。VisaやMastercardが銀行を介して決済を処理するのに対し、Amexは自社ネットワーク内でエージェント取引を直接検証できます。これによりエージェント登録、アカウント連携、意図確認、決済、カート検証までを一貫して管理する体制を構築しました。

一方で、検証プロセスの具体的な仕組みは公開されておらず、業界からは透明性への懸念が出ています。本人確認サービスを提供するTruaのCEO、Raj Ananthanpillai氏は、認証済みの人間の明示的権限に基づく暗号的な証明がなければ、チャージバックの急増や詐欺リスクが高まると警告しました。エージェント商取引の普及には、決済の制御だけでなく上流の本人認証の透明化が不可欠です。

米国家安全保障局（NSA）が、AnthropicのAIモデル「Mythos Preview」を使ったソフトウェア脆弱性の発見テストを実施していることが報じられました。BloombergとAxiosによると、NSAはMicrosoft製品のバグ探索にMythosを利用し、その速度と有効性に高い評価を示しています。現在Mythosへのアクセスは40組織に限定されています。

注目すべきは、国防総省がAnthropicを「サプライチェーンリスク」として利用禁止を宣言している中での動きである点です。ヘグセス国防長官は6カ月の移行期間を設けていますが、NSAがMythosの能力を理由に例外措置を検討する可能性も取り沙汰されています。Anthropic側は禁止令に対し訴訟を起こしています。

一方、ウォルト・ディズニー社はカリフォルニアのディズニーランドとディズニー・カリフォルニア・アドベンチャーで顔認証技術の導入を発表しました。来園者は顔認証レーンを「任意で」選択できますが、通常レーンでも画像が撮影される可能性があると説明されています。顔データは30日後に削除されるとのことです。

ランサムウェアグループ「Scattered Spider」の19歳の容疑者がフィンランドの空港で逮捕されました。MGMリゾーツやシーザーズ・エンターテインメントなどへの攻撃に関与した同グループは、英語圏の若年メンバーが多いことで知られています。容疑者は複数企業から数百万ドルを窃取した疑いが持たれています。

また、メディケアのオンラインディレクトリに紐づくデータベースが少なくとも数週間にわたりインターネット上で公開状態となり、医療提供者の社会保障番号などの個人情報が露出していたことがワシントン・ポストの報道で判明しました。このディレクトリはトランプ政権による医療提供者の全国データベース構築の一環として運用されていました。

英国AI安全研究所（AISI）は2026年5月1日、OpenAIが前週に一般公開したGPT-5.5のサイバーセキュリティ能力評価を公表しました。95種類のCapture the Flag課題を用いたテストで、GPT-5.5はAnthropicが「突出したサイバー脅威」として限定公開したMythos Previewと同等の性能を示しました。

最高難度のExpert課題では、GPT-5.5が平均71.4%を達成し、Mythos Previewの68.6%をわずかに上回りました。ただし統計的な誤差範囲内です。特に注目すべきは、Rustバイナリを逆アセンブルする高難度課題をGPT-5.5が10分22秒、API費用わずか1.73ドルで解いた点です。

企業ネットワークへの32段階のデータ窃取攻撃を再現した「The Last Ones」テストでは、GPT-5.5が10回中3回、Mythos Previewが10回中2回成功しました。過去にこのテストを突破したAIモデルは存在せず、両モデルとも画期的な結果です。一方、発電所の制御ソフトウェアを標的とした「Cooling Tower」シミュレーションには両モデルとも失敗しています。

この結果は、Anthropicが先月Mythosの公開を「重要な業界パートナー」に限定した判断に疑問を投げかけます。同等の能力を持つGPT-5.5がすでに一般公開されている以上、アクセス制限だけではサイバー脅威の抑止にならないことが明らかになりました。AIモデルのサイバー能力に関する誇大な主張と、実際のリスク評価との間にある乖離が改めて浮き彫りになっています。

米国防総省は5月1日、Nvidia、Microsoft、Amazon Web Services、Reflection AIの4社と、AIモデル・技術を機密ネットワーク上で「合法的に運用」するための契約を締結したと発表しました。これにより、Google、OpenAI、xAIとの既存合意と合わせて、計7社のAI企業が米軍の機密環境にアクセスできるようになります。

契約の対象となるのは、国家安全保障上極めて重要なデータを扱うImpact Level 6（IL6）およびImpact Level 7（IL7）の環境です。国防総省は声明で「米軍をAIファーストの戦力として確立するための変革を加速する」と述べ、データ統合や状況把握の向上、意思決定支援に活用する方針を示しています。

一方、以前は2億ドル規模の機密情報取り扱い契約を持っていたAnthropicは、今回の契約から明確に排除されています。同社は国防総省が求めた国内大量監視や完全自律型兵器への利用制限の撤廃を拒否し、「サプライチェーンリスク」に指定されました。Anthropicは連邦政府を提訴し、3月に仮差止命令を勝ち取っています。

国防総省のエミル・マイケル最高技術責任者は、Anthropicを依然としてサプライチェーンリスクとみなす一方、同社のセキュリティモデル「Mythos」については「サイバー脆弱性の発見と修正に特化した能力を持つ、別次元の国家安全保障上の問題だ」と言及しました。

国防総省はすでに安全な生成AIプラットフォーム「GenAI.mil」を運用しており、130万人以上の職員が調査・文書作成・データ分析などの非機密業務に活用しています。今後もベンダーロックインを防ぎ、長期的な柔軟性を確保する方針です。

OX Securityの研究者4名が、Anthropicが策定したオープン標準Model Context Protocol（MCP）のSTDIOトランスポートに、設計レベルの深刻な脆弱性を発見しました。MCPはAIエージェントとツールを接続する標準規格として、OpenAIやGoogle DeepMindも採用し、ダウンロード数は1億5000万回を超えています。STDIO転送はローカルツール接続の既定方式ですが、受け取ったOSコマンドをサニタイズなしにそのまま実行する仕組みになっています。

研究チームは公開IPアドレス上で7000台のSTDIO有効サーバを発見し、全体では約20万台が脆弱な状態にあると推計しました。6つの本番プラットフォームで任意コマンド実行を実証し、LiteLLM、LangFlow、Flowise、Windsurf、DocsGPTなど主要製品にわたる10件超の高・重大CVEが発行されています。特にWindsurfでは、開発者が攻撃者のウェブサイトを訪問するだけで、ユーザ操作なしにローカルのMCP設定が書き換えられ、コード実行に至るゼロクリック攻撃が確認されました。

Anthropicはこの挙動を「仕様通り（expected）」と回答し、プロトコルの修正を拒否しました。同社の論理では、STDIO はローカルプロセスを起動するための転送方式であり、設定ファイルへの書き込み権限を持つ者は当該マシンでのコマンド実行権限も有しているため、入力のサニタイズは開発者側の責任であるとしています。一方OX Securityは、20万人の開発者全員に正しいサニタイズを期待すること自体が問題だと反論しています。

Cloud Security Allianceも独自にOXの調査結果を確認し、MCP接続インフラを「アクティブな未パッチの脅威」として扱うよう勧告しました。製品レベルのパッチは個別の侵入経路を塞ぐものの、プロトコル自体のSTDIO動作は変更されないため、新しいMCPサーバを構成すれば同じ脆弱性を引き継ぎます。セキュリティ専門家は、全MCP STDIO設定を未信頼の入力として扱い、サンドボックス隔離を徹底するよう呼びかけています。

TeamViewerが9カ国4,200人の管理職・従業員を対象に実施した調査で、企業のIT障害の大半がヘルプデスクに報告されず放置されている実態が明らかになりました。アプリの遅延やログイン失敗、接続の不安定さといった日常的な不具合を従業員が自力で回避しており、組織は自社テクノロジーの実態を正確に把握できていません。

この「デジタルフリクション」による生産性損失は深刻で、従業員は月平均1.3日分の労働時間を失っています。プロジェクトの遅延や売上損失にとどまらず、従業員のモチベーション低下やバーンアウトを引き起こし、離職率の上昇にもつながっています。新規採用者のオンボーディングには8週間以上を要するケースもあり、影響は連鎖的に拡大します。

報告しても迅速に解決されないと感じた従業員は、私用デバイスや未承認アプリケーションを代替手段として使い始めます。これがシャドーITの温床となり、セキュリティ脆弱性やデータ漏洩リスク、コンプライアンス違反といった見えないリスクを組織にもたらしています。

調査を実施したTeamViewerは、従来のチケット件数や平均解決時間だけでは実態を捉えられないと指摘しています。デバイス・アプリケーション・ネットワークを横断したリアルタイム監視と、AIを活用した予防的な障害検知・自動修復への移行が、生産性と人材定着率を高める鍵になると提言しています。

Stripeは2026年4月30日、年次カンファレンスにおいてデジタルウォレット「Link」を発表しました。Linkは従来のデジタルウォレット機能に加え、自律型AIエージェントがユーザーに代わって買い物や予約、チケット購入などの決済を行える点が特徴です。Web、iOS、Androidの各プラットフォームで利用可能となっています。

Linkではカード、銀行口座、暗号資産ウォレット、後払いサービスなど多様な決済手段を登録できます。支出状況の確認やサブスクリプションの追跡、登録決済手段の更新といった管理機能も備えています。対象加盟店での購入には90日間の購入保護も提供されます。

AIエージェントによる決済では、まずユーザーがOAuth認証を通じてエージェントにウォレットへのアクセスを許可します。エージェントが支出リクエストを作成すると、ユーザーのモバイルやWebに通知が届き、取引内容を確認したうえで承認する仕組みです。生の決済情報をエージェントに渡す必要がないため、セキュリティ上の懸念を軽減できます。

技術基盤にはStripeの新サービス「Issuing for agents」が使われています。エージェント向けにワンタイム仮想カードを発行し、リアルタイムの認可制御と取引の可視化を実現します。Stripeは今後、支出上限の設定や承認なしでの自動決済、ステーブルコイン対応なども追加する予定です。AIアシスタントを開発する企業にとっては、独自のウォレット構築を省略できる選択肢にもなります。

OpenAIのSam Altman CEOは2026年4月30日、同社のサイバーセキュリティツールGPT-5.5 Cyberを「重要なサイバー防御者」に限定して提供開始すると発表しました。利用希望者はOpenAIのウェブサイトで資格情報や利用目的を申請する必要があります。

Cyberはペネトレーションテスト、脆弱性の特定と悪用、マルウェアのリバースエンジニアリングなどの機能を備えたツールキットです。企業のセキュリティホール発見や防御テストを支援する目的で設計されていますが、悪意ある利用者に悪用されるリスクが懸念されています。

この動きが注目されるのは、わずか数日前にAltman氏がAnthropicの同種ツールMythosの利用制限を「恐怖に基づくマーケティング」と批判していたためです。一部の批評家もAnthropicの姿勢を大げさだと指摘していましたが、結局OpenAI自身が同じアプローチを採用する形となりました。

なおAnthropicのMythosについては、不正なグループがアクセスに成功したとの報告もあり、制限付きリリースの実効性に疑問が呈されています。OpenAIはアメリカ政府との協議を通じ、正当なサイバーセキュリティ資格を持つユーザーを特定してCyberの利用範囲を拡大する方針です。

OpenAIは2026年4月30日、ChatGPTおよびCodexアカウント向けの新しいオプトイン型セキュリティ機能「Advanced Account Security（AAS）」を発表しました。ジャーナリスト、政治的反体制派、研究者、政府関係者など、デジタル攻撃のリスクが高い利用者を主な対象としていますが、希望するすべてのユーザーが利用できます。

AASを有効にすると、従来のパスワードによるログインが無効化され、パスキーまたは物理セキュリティキーによる認証が必須となります。アカウント回復についてもメールやSMSによる方法が廃止され、バックアップパスキー、セキュリティキー、リカバリーキーのみに限定されます。これにより、フィッシングやソーシャルエンジニアリングによるアカウント乗っ取りのリスクを大幅に低減します。

OpenAIはセキュリティキー大手のYubicoと提携し、共同ブランドのYubiKey C NFCとYubiKey C Nanoを優待価格で提供します。YubicoのJerrod Chong CEOは「OpenAIアカウントへの不正アクセスの脅威を世界規模で劇的に減らすことが目的」と述べています。さらにAAS有効時は、会話データがモデル学習に使用されない設定が自動的に適用されます。

セッション有効期間の短縮、ログイン通知、アクティブセッションの管理機能も追加されました。ただし、AASに登録したユーザーがセキュリティキーを紛失した場合、OpenAIのサポートチームでも回復を支援できない点には注意が必要です。同社の「Trusted Access for Cyber」プログラム参加者は、2026年6月1日までにAASの有効化が義務付けられます。今回の発表は、4月上旬に公表されたOpenAIの包括的なサイバーセキュリティ戦略の一環です。

2026年3月から4月にかけて、Codex、Claude Code、Copilot、Vertex AIの主要AIコーディングエージェント4製品に対し、6つの研究チームがセキュリティ脆弱性を相次いで公開しました。いずれの攻撃もAIモデルの出力ではなく、エージェントが保持する認証情報を標的としており、従来のIAM（ID・アクセス管理）では検知できない新たな攻撃パターンが浮き彫りになっています。

BeyondTrustの研究者は、OpenAI CodexがGitHubリポジトリのクローン時にOAuthトークンをURLに埋め込んでいることを発見しました。ブランチ名にコマンドインジェクションを仕込み、Unicode全角スペース94文字で偽装することでトークンを平文で窃取できる状態でした。OpenAIはこれを最高深刻度P1に分類し、2026年2月5日に修正を完了しています。

AnthropicのClaude Codeでは3件の脆弱性が見つかりました。CVE-2026-25723はパイプ処理によるサンドボックス脱出、CVE-2026-33068は設定ファイルによる信頼ダイアログの迂回、そしてAdversaが発見した50サブコマンド超過時のdeny-rule無効化です。Anthropicのエンジニアは処理速度を優先し、50個目以降のサブコマンドのチェックを省略していました。いずれもパッチ済みです。

GitHubのCopilotに対しては、プルリクエスト説明文やGitHub Issueに隠された指示でリモートコード実行が可能でした。Vertex AIでは、デフォルトのサービスアカウント権限がGmail、Drive、Cloud Storage全バケットに及び、Googleの内部Artifact Registryにもアクセスできる状態でした。CrowdStrike CTOのElia Zaitsev氏は、エージェントのIDを人間のIDに紐づけるべきだと主張しています。

セキュリティ専門家は、企業がAIコーディングエージェントのID・認証情報を棚卸しし、PAM（特権アクセス管理）と同等のガバナンスを適用する必要があると警告しています。Graviteeの2026年調査によると、エージェントのOAuth認証情報をPAMに統合している企業はわずか21.9%にとどまっています。ブランチ名やPR説明文を含むすべての入力を信頼しない前提で扱い、エージェント固有のID管理体制の構築が急務です。