要旨: エージェント型システムは、API、メッセージングプラットフォーム、クラウドサービスに対するユーザの秘密情報を、ますます利用してふるまうようになっています。今日のベアラ・シークレット(持参人秘密)インターフェースは、露出による認可、すなわち「実行を可能にするために、再利用可能な秘密、あるいはそこから導かれた再利用可能なアーティファクトを、モデルで制御可能な境界内に置くこと」を通じて認可を実装しています。その結果、たとえ一時的なプロンプトインジェクションやツール側の侵害であっても、それが持続的なアカウント侵害へとつながり得ます。既存の防御は、秘密の保管、スコープ付き委任、送信者制約トークン、実行時監視など、周辺要素をカバーしていますが、共通の仕様がないために、エージェント型の「複合的な義務」が満たされる形には整理されていません。つまり、不信頼な自律的な要求者が、要求者に対して再利用可能な権限を露出することなく、ユーザが認可した秘密に裏打ちされた操作を引き起こせるべきです。我々はこの問題を Agent Secret Use(ASU)として定式化します。ASUから、問題の構造上の義務と、具体的な構成が満たすべき実現レベルでの堅牢性条件とを分離するセキュリティ性質の分類体系を導きます。これにより、既存のエージェント型・秘密防御を、問題に根ざした仕様に対して原理に基づき比較できるようになります。我々は、ASUを実現する三者プロトコルである Secret-Use Delegation Protocol(SUDP)を提案します。すなわち、要求者が正準化された操作を提案し、ユーザがそれを新しい真正性(認証)情報に裏打ちされた委任で認可し、そしてキュストディアン(保管者)が、境界で制限された使用のために委任を一度だけ償還して実行するため、再利用可能な権限が要求者境界を越えないようにします。さらにSUDPをエージェント型の運用に特化します。エージェントは操作を提案しますが、秘密情報は取得しません。明示的な仮定のもとで、SUDPがASUの要件を満たすこと、すなわち認可は検証可能で、操作は境界に束縛され、かつ単一使用であることを示します。SUDPはまた、提示された「封印(sealing)と消去(erasure)の仮定」のもとで、保存時の機密性およびラッピング・エポック鍵の分離も提供します。基盤となる秘密の平文レベルでの前方秘匿性(forward secrecy)も追加で必要とする場合には、環境がそれをローテートし、かつ取り消すことが必要です。
SUDP:エージェンティックシステム向けの秘密の利用委任プロトコル(Secret-Use Delegation Protocol)
arXiv cs.AI / 2026/4/29
💬 オピニオンDeveloper Stack & InfrastructureIdeas & Deep AnalysisModels & Research
要点
- この論文は、ユーザーの秘密(APIキー等)を用いるエージェンティックシステムにおける中核的なセキュリティリスクとして、「ベアラ秘密」インターフェースが再利用可能な権限をさらすことで、プロンプトインジェクションやツール側の侵害が恒久的なアカウント侵害につながり得る点を指摘しています。
- 「Agent Secret Use(ASU)」問題を形式化し、安全な秘密ベースの操作に必要な構造的要件と、具体的な実装で満たすべき堅牢性条件を切り分けるセキュリティ分類(タクソノミー)を提示しています。
- 著者らは「Secret-Use Delegation Protocol(SUDP)」を提案し、要求者が操作を提示し、ユーザーが新しい認証子に裏打ちされたシングルユースの委任(グラント)を発行し、キュスートディアンがそれを一度だけ償還して実行することで、再利用可能な権限が要求者境界を越えない仕組みを示します。
- さらに、エージェントは操作を提案するだけで秘密を取得しない前提でSUDPをエージェンティック運用に特化し、明示された仮定のもとで、検証可能な認可、操作の境界付け、単一使用を満たすと主張します。
- 併せて、保管の機密性、ラッピングエポック間の鍵分離、そして平文レベルのフォワードシcrecyを得るには環境による秘密のローテーションと失効が必要である点など、追加のセキュリティ目標も分析しています。
