AI エージェントの包括的な調査：206,435 件の Skill と 164,692 件のコードを分析

Capsule Security Analysis Details Scope of Vulnerable AI Agent Attack Surface

2026/05/11 SecurityBoulevard — 5月11日に Capsule Security が公開した “The State of AI Agent Security 2026” により、36 のサービスにまたがる 402,599 のユニーク AI エージェント・ホストが、パブリック・インターネットから直接到達可能であることが明らかになった。さらに深刻なのは、これらの AI エージェントの大半が、認証メカニズムをデフォルトで備えていないため、信頼できないコンテンツによるプロンプト・インジェクション攻撃を防止するガードレールも存在しない点である。

Capsule Security の Principal Researcher である Bar Kaduri は、AI エージェントが行う推論およびアクションと、IT 環境におけるシステム・レベル実行の間に、実質的なセキュリティ層はほぼ存在しないと述べている。

このレポートでは、約 86,000 の公開リポジトリに存在する、206,435 のエージェント Skill ファイルと、164,692 のコード・ファイルが分析されている。

その結果として判明したのは、AI ワークロードの平均において、想定値の 14.6 倍に達する依存関係が存在することだ。AI エージェントを介したサプライチェーン攻撃対象領域は、同規模の非 AI ソフトウェアと比較して 6 倍に達する。

サービスの公開数において上位に位置する AI エージェントは、OpenClaw 142,007 とn8n 130,598 が突出し、LLM ダウンロード用途で広く使用される Ollama が 35,910 であった。

また、19,618 の Skill ファイルのうち 2,909 件において、認証情報とデータベースへの直接書き込み権限が共存していることが確認された。

さらに、AI エージェント・エコシステムの大半のソフトウェアは Python で開発されており、このプログラミング言語に残存するセキュリティ上の弱点を継承している。

このレポートが示唆するのは、AI エージェントに対するサイバー攻撃の検知および防御が、セキュリティ・チームの想定以上に困難となる可能性である。

Capsule Security の研究者たちが、終了済みとされていた攻撃キャンペーンを追跡した結果として確認されたのは、10 週間後であっても、IDE 向けの 4 つの下流プラグインへと、悪性 Skill が拡散し続けていた事例である。

これらの懸念にもかかわらず、多くのエンドユーザーは AI エージェントによる生産性向上を得るために高いリスクを受容していると、Bar Kaduri は指摘する。その結果、AI エージェントを安全に利用する方法を見出す責任は、セキュリティ・チームへと移行している。

同氏は、「AI エージェントの導入を完全に阻止することは現実的ではないため、セキュリティ・チーム自身が AI エージェントを導入し、その動作を理解することが望ましい」と述べている。

将来的には、AI エージェントにセキュリティ機構がデフォルトで組み込まれる可能性があるが、普及促進の過程においては、これまでに必要とされてきた標準的なセキュリティ制御の多くが、欠如しているのが現状である。

さらに問題なのは、多くの AI エージェントが可視化できない形で、データセット間の推論を実行している点である。この可視性の欠如により、被害範囲の特定が極めて困難になる。

現時点では、AI エージェントが攻撃対象となるか否かではなく、どの程度侵害されるかが問題となっている。したがって、不可避となるインシデントに対し、いかに備えるかが重要な課題である。

訳者後書：AI エージェントの、安全性に関する調査結果をまとめた記事です。 問題の原因は、多くの AI エージェントが、認証機能へのアクセスや不正命令を防ぐ仕組みを標準で備えておらず、誰でもネット経由で操作可能な状態で放置されていることにあります。これにより、悪意の指示でシステムを乗っ取るプロンプト・インジェクションや、膨大な依存関係を悪用したサプライチェーン攻撃のリスクが非常に高まっています。便利な一方で、AI による推論と実行のプロセスが見えにくいため、 侵害を検知するのが難しい点も大きな課題です。 セキュリティ担当者だけでなく利用者も、 AI に過度な権限を与えず、 適切なアクセス制限をかけるという、基本対策を徹底する必要があります。よろしければ、2026/05/04 の「AI エージェントの半分は制御不能：MCP と Skill の比較をベースに最適解を求める」も、ご参照ください。