概要
Open Source Security Foundation(OpenSSF)は2026年4月のニュースレターにて、AIエージェントを標的とした新たな脅威カタログ「SAFE-MCP」を発表した。これはModel Context Protocol(MCP)を活用する自律型AIエージェントに固有のセキュリティリスクを体系化したフレームワークであり、急速に普及するエージェント型AI基盤の安全な活用を支援することを目的としている。Canonical、Microsoft、Thread AIのセキュリティ専門家らが登壇したテックトークでは、AIエージェントの持つ非決定論的な性質が従来のソフトウェアとは異なる脅威モデルを必要とすることが強調された。
主な脅威パターン
SAFE-MCPが取り上げる攻撃パターンは主に三つある。第一は非決定論的な挙動によるリスクであり、AIエージェントは同じ入力に対して異なる出力を返すことがあるため、従来の脅威モデリング手法が通用しない。第二は混乱した代理(Confused Deputy)問題で、エージェントがユーザーの代理として行動する際に適切な認可が行われず、意図しない操作が実行される認可失敗のリスクを指す。第三はプロンプトインジェクション攻撃であり、悪意ある入力によってエージェントの判断や行動を操作する手法だ。登壇者らはAIインフラ全体のセキュリティを評価する構造的フレームワークとして「七層ケーキ(Seven-Layer Cake)」モデルを提示し、AIスタック全体を横断したリスク評価の重要性を訴えた。
OSS-CRSプロジェクトの統合とAI-Slop問題
OpenSSFはDARPAのAI Cyber Challengeから生まれたOSS-CRSプロジェクトも受け入れた。このオーケストレーションフレームワークは、実験的なAIセキュリティ研究と実用的なオープンソース防御の橋渡しを担うものとして位置づけられており、自律システムが大規模にバグを発見・修正できるようにすることを目指す。
一方、Vulnerability Disclosures Working Groupは「AI-Slop」問題への対応として、コミュニティ調査を開始した。AI-Slopとは、AIが生成する低品質な脆弱性レポートを指し、VDP(脆弱性開示プロセス)に大量のノイズが流入している問題だ。このような偽陽性の増大はオープンソースプロジェクトのメンテナーに余分な負担を強いており、OpenSSFは実態把握と対策策定に向けた調査を進めている。
今後の展望
SAFE-MCPのようなフレームワークの整備は、AIエージェントが企業システムや開発ツールに組み込まれる速度が上がる中で不可欠となっている。MCPが多くのAIエージェント実装で採用される標準プロトコルとなりつつある今、攻撃対象領域の共通理解を業界全体で形成することが急務だ。OpenSSFが主導するこの取り組みは、AI時代のオープンソースセキュリティ基盤を整える重要な一歩となるだろう。