ソートリーダー

エージェントはもうチャットボットではありません——なぜまだチャットボットのように扱っているのですか？

Published July 25, 2025

Updated April 26, 2026

Steve Wilson, Chief AI Officer at Exabeam

初期のジェネレーティブAIの時代、悪い場合のシナリオは、チャットボットが恥ずかしい思いをすることだった。チャットボットは事実を妄想した、偏ったテキストを吐き出したり、名前を呼んだりした。そんなに悪いことだった。でも、今、私たちは鍵を渡した。

エージェントの時代へようこそ。

チャットボットからエージェントへ：自律性のシフト

チャットボットは反応的だった。彼らは自分のレーンに留まっていた。質問を受け、答えを返す。でも、AIエージェント——特にツール使用、コード実行、永続的なメモリを使用して構築されたもの——は、マルチステップのタスクを実行し、APIを呼び出し、コマンドを実行し、コードを書き、デプロイすることができる。

つまり、彼らはただのプロンプトに反応しているのではなく、決定を下している。セキュリティの専門家なら誰でも言うように、システムが世界で行動を開始すると、安全性と制御について真剣に考える必要がある。

2023年に私たちが警告したこと

OWASPでは2年以上前にこのシフトについて警告し始めた。LLMアプリケーションのOWASP Top 10の最初のリリースでは、用語を造った。過剰なエージェンシーである。

考え方は簡単だった：モデルにあまりにも多くの自律性——あまりにも多くのツール、あまりにも多くの権限、あまりにも少ない監視——を与えると、境界付きのアシスタントではなく、自由なエージェントのように行動し始める。もしかしたら、会議をスケジュールする。もしかしたら、ファイルを削除する。もしかしたら、高価なクラウドインフラストラクチャをプロビジョニングする。

気をつけなければ、混乱した代理人……または悪意のあるスリーパー・エージェントのように、サイバーセキュリティ・インシデントで悪用されるのを待っている。最近の実世界の例では、Microsoft CopilotやSalesforceのSlack製品のエージェントは、機密データを漏らすために昇格された権限を使用するようにトリックされる可能性があることが示された。

そして、今、それは科幻のように見えなくなり、次のQ3ロードマップのように見え始めている。

MCP：エージェント制御レイヤー（あるいはそうではない？）

2025年まで進み、エージェントの機能の爆発に対処するように設計された新しい標準とプロトコルの波が見られる。最も顕著なものは、Anthropicのモデル・コンテキスト・プロトコル（MCP）——AIエージェント・セッション全体で共有メモリ、タスク構造、ツール・アクセスを維持するメカニズム——である。

MCPをエージェントのコンテキストをツールや時間でまとめるための接着剤として考える。コーディング・アシスタントに「これまでに何をしたか、許可されたこと、覚えておくべきこと」を伝える方法である。

必要なステップである。でも、新しい疑問も生まれている。

MCPは機能のエナブラーである。ガードレールはどこにある？

MCPについての焦点は、エージェントが何ができるかを拡大すること——それを制限すること——ではなく、そこに置かれている。

プロトコルはツールの使用を調整し、エージェントのタスク全体でメモリを保存するのに役立つが、以下のような重要な懸念に対処していない。

プロンプト・インジェクション耐性：攻撃者が共有メモリを操作した場合どうなる？
コマンドのスコープ：エージェントは権限を超えるようにトリックされることができるか？
トークン・アブユーズ： メモリ・ブロブの漏洩はAPIクレデンシャルまたはユーザー・データを公開する可能性があるか？

これらは理論的な問題ではない。セキュリティの影響に関する最近の調査では、MCPスタイルのアーキテクチャは、共有メモリが適切にスコープ化または暗号化されていない場合、プロンプト・インジェクション、コマンドの誤用、さらにはメモリの汚染に対して脆弱であることが示された。

これは、権力と監視のない古典的な問題である。外骨格を構築したが、オフ・スイッチがどこにあるかまだわかっていない。

CISOが注目すべき理由——今

私たちは未来のテクノロジーについて話しているのではない。開発者がすでに使用しているツールについて話している。企業への大規模なロールアウトの始まりにすぎない。

コーディング・エージェントであるClaude CodeやCursorは、企業のワークフロー内で実際の勢いを得ている。GitHubの内部調査では、Copilotはタスクの速度を55%向上させることができることが示された。最近、Anthropicは、Claude Codeの使用の79%がコードの提案ではなく、自動化されたタスクの実行に焦点を当てていると報告した。

それは本物の生産性である。でも、それは本物の自動化でもある。これらはもうコ・パイロットではない。彼らはますます独自に飛行している。コックピット？空である。

MicrosoftのCEOであるSatya Nadellaは最近、AIがMicrosoftのコードの30%を書いていると述べた。AnthropicのCEOであるDario Amodeiはさらに進んで、AIが6か月以内に新しいコードの90%を生成する予測をした。

そして、それはソフトウェア開発だけではない。モデル・コンテキスト・プロトコル（MCP）は、コーディングを超えて、電子メールの整理、会議の準備、セールスの計画、ドキュメントの要約、その他の一般ユーザーのための高レバレンスの生産性タスクに使用されるツールに統合されている。これらのユースケースの多くはまだ初期段階にあるが、急速に成熟している。賭けは変化する。これは、CTOやVP of Engineeringだけの議論ではなく、ビジネス・ユニットのリーダー、CIO、CISO、Chief AI Officerも含めた議論である。エージェントが機密データとクロス・ファンクショナルなワークフローを実行し始めると、組織は、ガバナンス、リスク管理、戦略的計画が最初から会話の一部であることを確認する必要がある。

次に何が起こるべきか

チャットボットとしてではなく、実際のセキュリティ要件を持つ自律システムとしてこれらのエージェントを考えることを止める時が来た。つまり：

エージェントの特権境界：すべてのプロセスをrootで実行するのと同じように、エージェントはツールやコマンドへのアクセスをスコープする必要がある。
共有メモリのガバナンス：コンテキストの永続性は監査、バージョン管理、暗号化——特にセッションやチーム全体で共有される場合——される必要がある。
攻撃のシミュレーションとレッド・ティーミング：プロンプト・インジェクション、メモリの汚染、コマンドの誤用は、トップ・ティアのセキュリティ脅威として扱われる必要がある。
従業員のトレーニング：AIエージェントの安全で効果的な使用は、新しいスキルであり、人々はトレーニングが必要である。これにより、彼らはより生産的になり、知的財産をより安全に保つことができる。

組織がインテリジェントなエージェントに飛び込むとき、歩く前に走るよりも優れている。範囲、データ、権限が制限されたエージェントで経験を積む。組織のガードレールを構築し、経験を積み、より複雑で自律的なユースケースに移行する。

あなたはこれを座視できない

あなたがChief AI OfficerかChief Information Officerか、最初の懸念は異なるかもしれないが、あなたの進むべき道は同じである。コーディング・エージェントや自律的なAIシステムからの生産性の向上は、無視できない。まだ「待ってみる」アプローチをとっている場合、あなたはすでに後れを取っている。

これらのツールはもう実験的なものではない——急速にテーブル・ステークスになっている。Microsoftのような企業は、コードの大量をAIを通じて生成し、それによって競争上の優位性を高めている。Claude Codeのようなツールは、開発時間を短縮し、複雑なワークフローを自動化し、世界中の多くの企業で実際の勢いを得ている。

Microsoft CEOのSatya Nadellaは最近、AIがMicrosoftのコードの30%を書いていると述べた。AnthropicのCEOであるDario Amodeiはさらに進んで、AIが6か月以内に新しいコードの90%を生成する予測をした。

何が起こるべきか

セキュリティと速度は相反するものではない——意図的に構築すれば。エージェントをコア・インフラストラクチャとして扱う企業——玩具や脅威として扱うのではなく——が、繁栄する企業になる。残りは、後始末をしているか——または悪い場合——見ているだけである。

エージェントの時代がここにある。反応しないで。準備する。統合する。セキュアにする。

Unite.AI