マルウェアやオンラインでのなりすまし、アカウント乗っ取りがあるうちは、デジタルセキュリティ上の問題はそれだけで十分に多いです。さらに、エージェント型AIの台頭により、人間に代わってエージェントが行う活動が増えており、何かがうまくいかないといった別のリスクが生まれています。
現在、GoogleとMastercardの当初の取り組みに基づいて、認証に重点を置く業界団体であるFIDOアライアンスは火曜日、「AIエージェントが実行する決済やその他の取引を検証し、保護するための業界標準を策定するための作業部会を2つ立ち上げる」と発表しました。
狙いは、業界をまたいで導入できる防護のためのベースラインを作ることです。これにより、ユーザーは、フィッシングに遭いにくい、あるいは悪意ある第三者に乗っ取られてエージェントにいわば“ならぬ命令”が与えられたとしても、エージェントの行動を許可できるようになります。さらに、こうした標準には、デジタルサービスが暗号技術を使って、エージェントが認証された本人の指示を正確かつ正当な形で実行していることを確認できるためのツールや、ユーザー、加盟店、その他のサービス提供者がエージェントによって開始された取引を検証するための、プライバシー保護型の枠組みも含まれる予定です。言い換えれば、この取り組みの目的は、エージェントの乗っ取りやその他の不正行為に対する防護だけでなく、紛争が起きた場合に救済を求めるための透明性と説明責任の仕組みを作ることです。
「エージェントはますます一般的になってきており、主流の利用に入りつつありますが、既存のモデルは必ずしもこうしたパラダイムのために設計されているわけではありません。ユーザーに代わって実行される行動のことを想定して作られていなかったのです」FIDOアライアンスのCEO、Andrew Shikiar氏はWIREDにそう語っています。
さらに同氏は、「パスワードという巨大な問題領域について、ここ数年の取り組みを振り返ると、それは数十年前に始まっています。私たちの“つながった経済”へと発展していったもののためのセキュリティ基盤は、その目的に適したものではありませんでした。いま、エージェント型のエージェントやエージェント型の相互作用、エージェント型のコマースという点でも、同じような崖っぷちに立っているのです。だからこそ、同じ道をたどらず、より信頼できるやり取りを可能にするための基礎となる原則を確立する機会があります」と付け加えています。
幅広い業界に広く適用でき、相互運用性を促進する技術標準を開発するのは、手間のかかるプロセスであり、多くの場合、何年もかかります。しかし、エージェント型AIの急速な進歩と普及を踏まえると、FIDOアライアンス、Google、Mastercardの各代表は全員、このプロセスはもっと迅速に進めなければならないと強調しました。そのため、両社はこの取り組みにオープンソースのツールを提供しています。GoogleのAgent Payments ProtocolであるAP2(またはAP2)は、ユーザーが本当に、そのエージェントが開始した特定の取引の実行を意図していたことを、暗号学的に検証するための仕組みを提供します。MastercardのVerifiable Intentのフレームワーク(AP2と連携するためにGoogleと共同開発)は、ユーザーがエージェントの行動を許可し、制御するための安全な仕組みです。
「私たちは、取引がユーザー自身によって許可されたことを、暗号による証明として提供したいのですが、それを非公開に保つことで、組み込みの選択的開示を実現したいのです」と、Googleのバイスプレジデント兼決済担当ゼネラルマネージャーであるStavan Parikh氏は述べています。「エコシステムの中のさまざまなプレイヤー――プラットフォーム、加盟店、決済提供者、ネットワーク――は、それぞれに関連する情報だけを見ますが、正しいアクションは適切なタイミングで確実に実行されます。決済は複雑なエコシステムの課題です」
パリク氏は、スニーカーを買いに行った人の例を挙げています。ところが、そのスニーカーが品切れになっていました。購入者はAIエージェントに対し、もし再入荷して価格が100ドル以下になった場合に、自律的にスニーカーを購入するよう指示します。狙いは、この取引に関する認証と透明性を提供することであり、もし完璧なスニーカードロップのタイミングが訪れても、消費者が当初意図していた価格で、正しいシューズを手にできるようにすることです。
これらの基本的な保護を確立することが、エージェント型AIに対する信頼を促進し、AI搭載ツールの導入を後押しするうえで重要だとパリク氏は指摘します。ただし、ユーザーがAI機能の導入を望むかどうかにかかわらず、その普及は現実に進んでいるため、いずれにせよ最低限のガードレールが必要になります。
AP2と「Verifiable Intent(検証可能な意図)」の貢献が、作業グループに大きな前進をもたらすことにはなるものの、実際に技術が現実の場面で機能することを確実にするためには、実用的な具体例やユースケースの体系を構築する必要があります。そして、ユーザー、プラットフォームの加盟店、決済プロバイダーなど、各分野にまたがる関係者が、プロトコルを大規模に現実的に導入し、支えられるようにする必要があるでしょう。
エージェント型AIの開発のスピードを見れば、マスターカードの最高デジタル責任者であるパブロ・フエレス氏は、このFidoアライアンスの取り組みに緊急性があることは妥当だと強調しています。
「この技術はとても、とても速いスピードで進化しているので、過去には2年か3年かかっていたかもしれない標準化のタイムラインを圧縮してしまうんです」とフエレス氏は言います。「一般の人は結局のところ、最後にはそれがきちんと機能し、信頼できることを知りたいだけです。そして私たちは常にカード保有者の味方になります。しかし、不正な行為者がこのようなものを悪用すると、それを支えるためのコストが非常に高くなります。だから、この技術を導入してもらい、消費者や加盟店を効果的に支えられる形で裏付けを取れるようにする必要があるのです。」
