エージェント設計、OWASP が初の公式チェックリストを出す
AI エージェントの権限設計三本柱を自己流で組むと抜け漏れが出やすい。OWASP は 2025 年 12 月、自律型 AI エージェントに特化した初の公式リスク分類「Top 10 for Agentic Applications」(ASI01〜ASI10)を公開した。目標ハイジャック・ツールの誤用・身元と特権の悪用・サプライチェーン侵害・予期しないコード実行・メモリ汚染・エージェント間通信の不備・カスケード障害・人間とエージェントの信頼の悪用・ならず者エージェントの 10 項目からなり、チャットボットやコパイロットではなく「計画し・ツールを使い・自律行動するエージェント」固有の脅威を体系化している。本記事の最小権限は「身元と特権の悪用」、サンドボックスは「ツールの誤用・予期しないコード実行」、人間承認は「人間とエージェントの信頼の悪用」にそれぞれ対応するため、設計レビューのチェックリストとして使うとよい。
先月まで、AI エージェントの権限設計は「最小権限・サンドボックス・人間承認の三本柱を自己流で実装してください」が業界の共通理解でした。MCP が普及した 2025 年以降、扱えるツール数が増えた分だけリスクも広がりましたが、「どの脅威に対処できているか」を体系的に確認する公式リストがなかった。OWASP は 2025 年 12 月に ASI01〜ASI10 を公開しており、今回の記事でその三本柱への対応関係が整理されました。
エージェントを本番に動かしている開発チームや、社内への AI 導入を進めているマネージャーには、設計レビューのチェックリストとして使えます。三本柱に何が欠けているかを確認するときに、OWASP の 10 項目と突き合わせるのが一番早いはずです。まだ PoC 段階でエージェントを本番に置いていないチームには今すぐ必要ではないです。ただ「本番に上げるとき何が必要か」を先に把握しておく意味では読んでおいて損はない資料です。