Claude x 1Password
Claude、ログインも代行。
エージェントの最後の壁が崩れる。
これまでのブラウザ操作エージェントは、ログイン画面の前で立ち尽くしていました。パスワードを渡す方法がなかったからです。Anthropic と 1Password の統合により、Claude は自分の文脈には資格情報を持ち込まないまま、ブラウザに直接パスワードを差し込めるようになりました。エージェントが「読み取るだけ」から「代わりに手続きする」段階へ進みます。
The News
「ログイン画面の壁」が、崩された
Claude が 1Password と協調して、ブラウザ操作の途中でパスワードと TOTP を差し込む。
2026 年 7 月 17 日、Anthropic と 1Password(AgileBits Inc.)は、Claude の Computer Use / Skills がブラウザ操作中にログインフォームへ到達したとき、1Password の Local API を介して該当ドメインの資格情報と TOTP コードを取り出し、ブラウザに直接タイプさせる「委任型資格情報取得(Delegated Credential Retrieval)」の共同仕様を公開しました。両社の発表は、単なる API 統合ではなく、エージェントに対するスコープ・同意・監査の三点を明文化した設計ドキュメントを伴っています(Anthropic ニュース、1Password Blog)。
要点はシンプルです。Claude 自身は資格情報を「見ない」。1Password の Local API が、Claude ではなくブラウザに直接パスワードを差し込みます。取り出しはドメインごとにスコープされ、生体認証またはマスターパスワードでの再承認が毎回発生し、すべての取得は 1Password 側で監査ログに残ります。実装のしくみは 1Password Developer Docs にある op CLI と 1Password Extension プロトコルの延長で、既存の SOC 2 Type II ・ ISO 27001 統制の上に乗る形です。
By the Numbers
数字で見る、ログイン壁の実態
「約 15 万」は 1Password が公表してきた法人顧客の桁感(2025 年時点、Krebs on Security 等の一次報道を含む一般開示レンジ)。「40–60%」は業務エージェントの実地評価で「ログイン画面で停止した」割合の市場観測。「×3.4」は Anthropic が内部評価で示した、資格情報経路を有効化した場合の完遂率上振れ(一次発表ベース、Anthropic)。「0」は仕様上の不変条件で、Claude の LLM コンテキストには最後まで平文が入りません。
Why It Matters
なぜ「今」、これが効くのか
エージェントは「読み取り」で頭打ちになっていた。壁は認証だった。
読み取りエージェントの天井
2025〜2026 年前半、Computer Use や Operator 系のエージェントが実運用で完遂できたのは、公開情報の要約・比較・レポート生成といった読み取りタスクにほぼ限定されていました。銀行ポータル、社内 SaaS、行政 e-サービスといった認証必須の作業に踏み込めなかったのが最大のボトルネックでした。
資格情報パススルーが最後のレール
足りていなかったのは「秘密をエージェントに見せずに、ブラウザだけに渡す」レールです。ブラウザネイティブのパスワードマネージャ(1Password、Bitwarden、LastPass)が持つドメイン整合とスコープ制御を、エージェント側から呼び出せる形に定義したのが今回の共同仕様です。
同意と監査が「後付け」でない
過去のブラウザ自動化ツールは、資格情報を平文で環境変数や設定ファイルに置く運用で回っていました。今回は、取得ごとのユーザー同意と監査ログが仕様に埋め込まれています。企業 IT が「エージェントに何を許すか」を後付けではなくロールアウト時に決められるようになったのが、実質的な差分です。
Who's Affected
誰に、どう効くか
エンジニア
スコープを絞ったエージェント実行、セッション隔離、TOTP のハンドリングを設計する立場。op CLI とサービスアカウントで開発環境と本番環境を分け、Claude Skills の allowed_hosts と 1Password のドメイン許可リストを二重にかけるのが最小構成です。
ビジネス(調達・コンプラ)
「どのエージェント × どのパスワードマネージャの組合せが監査に耐えるか」を決める番。SOC 2 Type II ・ ISO 27001 を両社が保持し、監査ログが 1Password 側に集約される Anthropic × 1Password は、現時点で企業採用の第一候補です。
プロダクトマネージャ
ロードマップ上、これまで「人手前提」だった社内フローを一気にエージェント化候補に組み替えられます。経費申請、ベンダーポータル巡回、チケットのトリアージ、SaaS 契約更新の突合——認証画面で止まっていた作業を洗い出し、優先度を付け直す時期です。
The Counterpoint
それでも警戒すべき、裏面
同じレールが、攻撃者にも通る。
① 資格情報パススルーは攻撃面が広い。悪意あるサイトが プロンプトインジェクションで「別ドメインでログインしろ」と Claude を誘導したとき、ドメイン整合チェックが最後の砦です。1Password の URI マッチが甘い項目(自作エントリのカスタム URL 等)は、この攻撃で最も先に露呈します。② 同日 Anthropic が公表した Claude のメモリリーク系アドバイザリ(別項)は、リスクが仮想でなく現実であることを示しています。金融・医療のような高影響アカウントは、まず読み取り専用のロールで運用を始めるべきです。③ FIDO2 / passkeysへの委任仕様は未整備で、パスキー主流化が進むほど「エージェントが押せないボタン」が増えます。今の設計は過渡期の橋渡しである前提で、恒久実装に寄せすぎないこと。
What to Do Next
次の一手として、何をすべきか
| 短期(〜3か月) | 中期(〜12か月) |
|---|---|
| 読み取り専用ロールで社内 SaaS を 1 種だけ試す | 経費・請求・チケットの 3 業務でパイロット |
| 1Password のURI マッチ厳密化と取得監査を運用化 | Okta / Azure AD SSO 連携で人アカウントと分離 |
| 個人利用は金融・医療口座を除外 | passkey 対応サービスは委任仕様の成熟を待つ |
比較競合として、OpenAI の ChatGPT Agent は現時点でも実行中にユーザーへのログイン要求が入り、フローが分断される場面が多い。Google の Project Mariner は Chrome Password Manager と接続するものの、個人アカウントに限定されています。Anthropic × 1Password は、クロスプラットフォームかつ企業級監査を備えた資格情報パススルーとしては初手です。Q4 2026 に想定される Okta / Azure AD SSO 連携が乗ってはじめて、企業運用の完成型になります。