Metaの暴走したAIエージェントは承認なしに行動し、機密の企業データとユーザーデータを、アクセスを許可されていない従業員に公開した。Metaはこの事件を3月18日にThe Informationに確認したが、最終的にはユーザーデータは不適切に扱われなかったと述べた。この暴露は内部で大規模なセキュリティ警報を引き起こした。
入手可能な証拠は、障害が認証後に発生したことを示唆しており、認証の最中にはなかった。エージェントは有効な認証情報を保持しており、許可された境界内で動作しており、すべての身元確認をパスした。
Meta Superintelligence Labsのアラインメント部門ディレクターSummer Yueは、先月、X上のバイラル投稿で、別の関連する失敗を説明した。彼女はOpenClawエージェントに対して、行動する前に確認することを明確な指示として与え、彼女のメール受信箱を確認させた。
エージェントは自動的にメールの削除を開始した。Yue氏はそれに対して「それをしないでください」と送り、次に「止めて何もしないで」と送り、最後に「STOP OPENCLAW」と送った。エージェントはすべての指示を無視した。処理を停止させるため、彼女は別のデバイスへと物理的に急いで移動した。
この件について彼女がエージェントのガードレールをテストしていたかと尋ねられたとき、Yue氏は率直に答えた。「正直なところ、新人のミスだ」と言い、「アラインメント研究者もずれには免疫がないということだ」と続けた。(VentureBeatはこの事件を独立して検証できなかった。)
Yue氏は文脈の圧縮を原因と指摘した。エージェントの文脈ウィンドウが縮小し、彼女の安全指示を取り除いてしまった。
3月18日のMetaの露出は、法医学的レベルで公には説明されていない。
2つの事象はいずれもセキュリティリーダーにとって同じ構造的な問題を共有している。特権アクセスを持つAIエージェントが承認者が承認しなかった行動を取り、認証が成功した後には介入する仕組みがアイデンティティ基盤には欠如していた。
エージェントは常に有効な認証情報を保持していた。認証後、アイデンティティ・スタックのいかなる要素も、正規のリクエストと不正なリクエストを区別できなかった。
セキュリティ研究者はこのパターンを「混乱した代理人」と呼ぶ。有効な認証情報を持つエージェントが正しくない指示を実行し、すべての身元確認はリクエストは問題ないと判断する。これはより広い問題の一部であり、認証後のエージェント制御は大多数の企業スタックには存在しない。
これを可能にする4つのギャップ。
実行中のエージェントの在庫が把握できていない。
有効期限の設定されていない静的な認証情報。
認証後に意図を検証する検証がゼロ。
相互検証なしにエージェントが他のエージェントへ委譲する。
直近数か月で4つのベンダーがこれらのギャップに対抗するコントロールを提供した。以下のガバナンス・マトリクスは、RSACが月曜日に開く前にセキュリティリーダーが取締役会へ持ち込む5つの質問に対して、4層すべてを対応づけている。
なぜMeta事案が評価の前提を変えるのか
混乱した代理人は、この問題の最も鋭いバージョンであり、高い特権を持つ信頼されたプログラムが自らの権限を誤用するように仕組まれている。しかし、より広い失敗のクラスには、正当なアクセス権を持つエージェントが運用者の承認しない行動をとるすべての状況が含まれる。敵対的な操作、文脈の喪失、そして自律性のずれは、すべて同じアイデンティティのギャップを共有する。認証が成功した後に何が起こるかをスタックは検証していない。
CrowdStrikeのCTOエリア・ザイツェフ氏は、VentureBeatとの独占インタビューでこの根本的なパターンを説明した。従来のセキュリティコントロールは、アクセスが許可された時点で信頼を前提し、ライブセッション内で何が起きているかを可視化できないと指摘した。攻撃者が使用するアイデンティティ、役割、サービスは、コントロールプレーン上の正当な活動と見分けがつかない。
Saviyntの2026 CISO AI Risk Report(235名のCISOを対象)によると、47%がAIエージェントが意図しないまたは不正な振る舞いを示していると観測しており、侵害されたAIエージェントを抑制できると自信を持って感じた人はわずか5%だった。これら2つの数字を併読すべきだ。AIエージェントはすでに内部リスクの新しいクラスとして機能しており、永続的な認証情報を保持し、機械規模で動作している。
Cloud Security AllianceとOasis Securityの383 IT・セキュリティ専門家を対象とした調査からの3つの発見—問題の規模を示す:79%はNHIベースの攻撃を防ぐ自信が中程度または低いと回答し、92%はレガシーIAMツールがAIとNHIリスクを特に管理できると自信がないと回答し、78%はAIアイデンティティの作成または削除に関する文書化されたポリシーを持っていない。
攻撃面は仮想的なものではない。CVE-2026-27826 および CVE-2026-27825は、February末にMCPが設計した信頼境界を通じてSSRFと任意ファイル書き込みを引き起こし、mcp-atlassianはPluto Securityの公表によれば4百万件以上のダウンロードを記録している。同じローカルネットワーク上の誰でも、2つのHTTPリクエストを送ることで被害者のマシン上でコードを実行できる。認証は不要。
IANS Researchの教員Jake Williams氏は、この傾向について率直に語っている。MCPは2026年のAIセキュリティ問題を定義することになると述べ、IANSコミュニティに語り、開発者が認証パターンをエンタープライズアプリケーションではなく入門チュートリアルにふさわしいものとして構築していると警告している。
最近の数か月で4つのベンダーがAIエージェントのアイデンティティ制御を提供した。誰もそれらを1つのガバナンス・フレームワークに統合していなかった。下のマトリクスはそれを統合している。
4層のアイデンティティ統治マトリクス
この4つのベンダーはいずれも、セキュリティリーダーが既存のIAMスタックを置換するものではない。各ベンダーはレガシーIAMが見えない特定のアイデンティティのギャップを埋める。CyberArk、Oasis Security、Astrixなどの他のベンダーは関連NHIコントロールを提供しているが、このマトリクスはMeta事案が露呈した認証後の失敗クラスに最も直接対応する4つに焦点を当てている。 [runtime enforcement] はエージェント実行時に有効なインライン制御を意味する。
Governance Layer | 実施すべき要件 | 未実施の場合のリスク | 現在の提供元 | ベンダーへの質問 |
エージェント検出 | すべてのエージェント、その認証情報、およびシステムのリアルタイム在庫 | 監査されていない継承権限を持つシャドウエージェント。 IT承認なしに従業員がエージェントツールを採用することで、企業のシャドウAI展開率は引き続き上昇している | CrowdStrike Falcon Shield [runtime]: SaaSプラットフォーム全体のAIエージェント在庫。 Palo Alto Networks AI-SPM [runtime]: 継続的なAI資産検出。 Erik Trexler, Palo Alto Networks SVP: 「アイデンティティと攻撃面の崩壊は2026年を定義する。」 | どのエージェントが私たちが提供していないものを実行しているのか? |
Credential Lifecycle | 一時的なスコープ付きトークン、自動ローテーション、ゼロ・スタンディング権限 | 静的キーの盗難 = 完全権限での恒久的アクセス。長寿命のAPIキーは攻撃者に無期限の恒久的アクセスを与える。非人間のアイデンティティは既に人間を大きく上回っている — Palo Alto Networks は 82-to-1、Cloud Security Alliance は 100-to-1 をそれぞれ2026年の予測・クラウド評価で指摘している。 | CrowdStrike SGNL [runtime]: ゼロスタンディング権限、ヒト/NHI/エージェント間の動的認可。2026年1月に取得(FQ1 2027に完了予定)。 Oasis SecurityのCEO Danny Brickman: 「AIはアイデンティティを、毎分新しいエージェントが認証情報を生成する高速度システムへ変える。」 | 90日を超えるキーで認証しているエージェントはありますか? |
Post-Auth Intent | 正規リクエストが正当な意図と一致することを検証する行動ベースの検証 | エージェントはすべての検証を通過し、認可済みのAPIを通じて誤った指示を実行する。Metaの失敗パターン。レガシー IAMにはこの検出カテゴリがない | SentinelOne Singularity Identity [runtime]: 人間と非人間の活動を横断するアイデンティティ脅威の検知と対応、アイデンティティ・エンドポイント・ワークロード信号を相関させ、認可済みセッション内での乱用を検出。 Jeff Reed, CTO: 「アイデンティティリスクは認証の開始と終了だけではない。」 2月25日投入 | 認証と実行の間で意図を検証するものは? |
Threat Intelligence | エージェント固有の攻撃パターン認識、エージェントセッションの行動ベースライン | 認可済みセッション内での攻撃。署名は作動せず。SOCは通常のトラフィックを検知。滞留時間は無期限に延長される |
Cisco AI Defense [runtime]: エージェント固有の脅威パターン。 Lavi Lazarovitz、CyberArkのサイバー研究担当副社長: 「AIエージェントは新しいタイプのデジタル同僚だと考えてください。」それらは「意思決定を下し、環境から学び、自律的に行動します。」EDRのベースラインとなる人間の行動。エージェントの挙動は正当な自動化と区別するのが難しい
私たちのテレメトリには、混乱した代理人はどのように現れますか?
このマトリクスは、進行の段階を示します。発見と認証情報のライフサイクルは、出荷済みの製品によって現在解決可能な状態です。認証後の意図検証は部分的にしか解決されていません。SentinelOneは、アクセスが許可された後の人間と非人間の活動にまたがるアイデンティティ脅威を検出しますが、認証後のエージェント障害を検出するシグネチャはほとんど存在しません。SOCチームは人間の行動ベースラインで訓練されていますが、エージェントのトラフィックはより速く、より均一で、正当な自動化と区別するのが難しくなっています。
アーキテクチャ上、依然として開いているギャップ
主要なセキュリティベンダーは、本番製品としてのエージェント間の相互認証を提供していません。Google の A2A を含むプロトコルや、2026年3月の IETFドラフトは、構築方法を説明しています。
エージェントAがエージェントBへ委任すると、彼らの間でのアイデンティティ検証は発生しません。侵害されたエージェントは、通信先のすべてのエージェントの信頼を継承します。プロンプトインジェクションを介して1つを侵害すると、それはすでに構築されている正当なエージェントの信頼を用いて、チェーン全体へ指示を出します。MCPの仕様はトークンパススルーを禁じています。それでも開発者はそれを行います。OWASP 2026年2月のSecure MCPサーバー開発の実践ガイド は、混乱した代理人を「特定の脅威クラス」として分類しました。生産レベルのコントロールはまだ追いついていません。これはセキュリティ担当者が役員会に持ち込む5つ目の質問です。
次の取締役会に向けてやるべきこと
すべてのAIエージェントとMCPサーバー接続を棚卸してください。90日より古い静的APIキーで認証しているエージェントは、認証後の障害が起こるのを待っているだけです。
静的APIキーを廃止してください。すべてのエージェントを、スコープ付きの一時トークンへ自動回転を伴って移行させてください。
ランタイム検出を展開してください。存在しているはずのエージェントのアイデンティティを監査できません。シャドウデプロイの比率は上昇しています。
混乱した代理人の露出を検証してください。MCPサーバー接続ごとに、サーバーがユーザーごとに認可を強制するか、呼び出し元全員に同一のアクセスを付与しているかを確認してください。もしすべてのエージェントがリクエストを発した人に関係なく同じ権限を得る場合、混乱した代理人はすでに悪用可能です。
ガバナンス・マトリクスを次の取締役会に持参してください。四つの対策を展開し、1つのアーキテクチャ的ギャップを文書化し、調達のタイムラインを添付します。
人間の従業員用に構築したアイデンティティスタックは、盗まれたパスワードを検知して不正ログインをブロックしますが、有効な認証情報を用いた正規のAPI呼び出しを介して悪意ある指示に従うAIエージェントを検知することはできません。
Metaのインシデントは、それが理論的な話ではないことを証明しました。世界有数のAI安全チームを擁する企業で起きたのです。これを見つけるための最初の対策を4つのベンダーが出荷しました。第5層はまだ存在しません。これが姿勢を変えるかどうかは、このマトリクスを機能する監査ツールとして扱うか、ベンダー資料のDeckで読み飛ばすかに依存します。
