Toward Securing AI Agents Like Operating Systems

本論文は、LLM ベースの AI エージェントのセキュリティ確保にはオペレーティングシステムのセキュリティ原則の適用が必要であると主張し、統合アーキテクチャ分析とケーススタディを通じて、一部のリスクは本質的であるものの、リソース分離や権限分離といった確立された OS 技術を用いることで多くの脆弱性を軽減できることを示している。

要約

超優秀で非常に意欲的な「エージェント」という名の個人秘書を雇ったと想像してください。この秘書はあなたのメールを読み、カレンダーを管理し、フライトを予約し、さらにはあなたのためにコードを書くことさえできます。まるで眠らない魔法の従業員を手に入れたようなものです。

しかし、ここには落とし穴があります。あなたは、この従業員に自宅の全鍵、銀行口座、そして日記へのアクセス権を渡してしまったのです。もし巧妙な泥棒が、この秘書をあなただと信じ込ませたり、裏口を開けるよう説得したりすれば、泥棒はすべてを手にしてしまいます。

これがこの論文が取り組む核心的な問題です。著者たちは、私たちはこれらのAIエージェントをまるで新しい魔法の生き物であるかのように構築しているが、実際にはそれらをオペレーティングシステム（Windows や macOS のような、コンピュータを動かすソフトウェア）のように扱うべきだと主張しています。

以下に、彼らの発見を簡単な比喩を用いて解説します。

1. 大きなアイデア：エージェントはオペレーティングシステムである

著者たちはこう述べています。「AI を単なるチャットボットだと考えないでください。それをあなたのデジタル生活のOSだと考えてください。」

• AI（LLM）はユーザーである：コンピュータにおいて、ユーザーはコマンドを入力します。AI エージェントにおいては、大規模言語モデル（「脳」）がコマンドを入力する存在です。しかし、人間ユーザーがフィッシングメールにだまされるのと同様に、AI も「ジャイルブレイク」プロンプトにだまされる可能性があります。
• ツールはシステムコールである：コンピュータで「印刷」をクリックすると、OS は権限があるか確認します。AI が「メールを送る」ことを望むとき、それはツールです。この論文は、これらのツールは自由なコマンドではなく、厳格なシステムコールとして扱われるべきだと主張しています。
• ランタイムはカーネルである：実際にコードを実行するソフトウェアの部分が「カーネル」です。安全なコンピュータでは、カーネルがボスです。誰が何に触れるかを決定します。現在の AI エージェントでは、この「カーネル」はあまりにも親切で、「ユーザー」（AI）が危険なことであっても何でもできるようにしてしまっています。

2. 問題点：「オープンハウス」パーティー

この論文は、OpenClaw やその仲間のような人気のある AI エージェントを検討し、それらが誰でも入って何でも触れることができるオープンハウスのように構築されていることを発見しました。

• 壁がない：安全なコンピュータでは、異なるプログラムは隔離されています。もしウイルスがあなたの電卓アプリに感染しても、銀行ファイルを読み取ることができてはいけません。しかし、これらの AI エージェントでは、「電卓」（ツール）と「銀行ファイル」（メモリ）がすべて同じ部屋にあります。AI が混乱すれば、誤って（あるいは悪意を持って）それらを混同してしまう可能性があります。
• 「私を信じて」という誤謬：これらのエージェントは、AI が「安全であること」を思い出すことに依存しています。「ファイルを削除しない」といったルールがありますが、それらは単なる英語で書かれているに過ぎません。ハッカーが AI に囁いて trick をかければ、AI はそのルールを忘れてしまいます。まるで警備員に監視を任せる際に、「自分の最善の判断で」と言うようなものです。
• 「サードパーティ」のリスク：これらのエージェントは、「スキル」（アプリのようなもの）のインストールを許可します。銀行口座への裏口を密かに持っている「天気アプリ」をダウンロードできると想像してください。この論文は、これらのエージェントの多くが、安全性を確認することなくこれらのスキルのインストールを許可していることを発見しました。

3. 実験：エージェントを破壊する

研究者たちは、4 つの人気のある AI エージェントを取り、 modest なスキルレベルのハッカーのように振る舞ってそれらを破壊しようと試みました。彼らは天才である必要はありませんでした。「家」の構造を知っていれば十分だったのです。

彼らが発見したこと：

• OpenClaw（「バニラ」エージェント）：これが最も人気のあるものでした。研究者たちが試したすべての攻撃に対して脆弱でした。まるで玄関、裏口、窓をすべて大きく開け放っているようなものです。
• IronClaw（「セキュリティ」エージェント）：これはより安全になろうと試みました。いくつかのツールを「サンドボックス」（家全体に触れられないガラスの箱）に入れました。結果は改善しましたが、研究者たちは依然としてそれを欺く方法やガラスを割る方法を見つけました。
• Nanobot（「ミニマル」エージェント）：これはコード量が非常に少なく、コードが少ないほどバグも少ないという期待を持っていました。しかし、コードベースが小さくても、データを分離するために必要な基本的な「壁」が欠けていました。
• NemoClaw（「ラッパー」エージェント）：これはエージェント全体を安全なコンテナ（コンテナ船のコンテナのようなもの）の中に収めました。破壊するのが最も難しかったですが、研究者たちは依然として内部を覗き見たり、欺いたりする方法を見つけました。

衝撃的な結果：「安全」なバージョンでさえ、あるユーザーが別のユーザーのプライベートなノートを読むのを防いだり、エージェントが見知らぬ人へメッセージを送るのを防いだりといった基本的なことで失敗しました。

4. 解決策：過去から学ぶ

この論文の主な結論はシンプルです。これを解決するために新しい魔法を発明する必要はありません。50 年間知られてきたセキュリティの規則を使うだけで十分です。

オペレーティングシステムは、これらと同じ問題を以前に解決しています。著者たちは、これらの古くからの規則を AI に適用することを提案しています。

• 隔離：すべてのツールを独自のガラスの箱（サンドボックス）に入れ、明示的に許可されていない限り、他のツールやあなたのプライベートなファイルに触れられないようにします。
• 最小権限：エージェントがメールを読めるからといって、それがすべきという意味ではありません。特定のタスクに必要な鍵だけを授与します。
• 強化されたログ記録：エージェントが行ったすべてのことを記録しますが、エージェントがその記録を削除したり変更したりできないようにします（改ざん防止型のセキュリティカメラのように）。
• 厳格な境界：何が安全かを AI に決定させないでください。「カーネル」（システム）が規則を執行しなければなりません。AI の「脳」ではありません。

まとめ

この論文は、AI エージェントが現在、規制されていない荒廃した開拓地のように構築されていると主張しています。それらは強力ですが、機密データと信頼できない指示が混在しているため危険です。

著者たちは言います。「安全にするために AI を『より賢く』しようとしないでください。代わりに、それを囲むシステムを安全なオペレーティングシステムのように構築してください。」もし、AI を厳格なセキュリティガード（OS）によって監視され制限される必要があるユーザーのように扱うなら、これらの強力なツールを家庭やビジネスで安全に使用できるようになります。

結論：私たちは人生のマスターキーを持つデジタル従業員を構築していますが、まだ鍵、塀、セキュリティガードを構築していません。数十年にわたりそれらの鍵を構築してきたコンピュータセキュリティの専門家たちの設計図を借りる時が来ました。

技術概要

技術的概要：オペレーティングシステムのように AI エージェントを保護することへの道

問題定義

大規模言語モデル（LLM）に基づく自律型エージェントは、限定的なアシスタントから、機密性の高いユーザーデータ、ローカルファイル、外部サービスへのアクセスを伴い、複雑なタスクの計画と実行を可能にする汎用システムへと進化している。OpenClaw のようなシステムは、ツール利用やサードパーティ製スキルを通じて大きな有用性を提供しているが、一方で甚大なセキュリティリスクをもたらしている。現在の研究はしばしばプロンプトインジェクションに狭く焦点を当てているが、ランタイムの拡張性、永続的状態、特権機能への仲介なしのアクセスからなるより広範な攻撃対象領域は、十分に分析されていない。人気のあるエージェント実装における既存の保護メカニズムは不十分であり、限定的な攻撃者の能力であっても、データ漏洩、特権昇格、または不正なシステムアクセスを防げないことが多い。本論文は、AI エージェントが直面するセキュリティ上の課題は、歴史的にオペレーティングシステム（OS）によって解決されてきたもの構造的に類似していると主張するが、現在のエージェント設計は、隔離、特権分離、仲介といった OS の基本的なセキュリティ原則を頻繁に違反している。

手法

著者らは、エージェントのセキュリティを調査するために三つのアプローチを採用了：

1. 概念的類比とアーキテクチャの導出：本論文は、AI エージェントとオペレーティングシステムの間の構造的な類比を確立する。エージェントのコンポーネントを OS の概念にマッピングする：LLM は信頼できないユーザーとして機能し、ツールやスキルはシステムコールやプログラムに対応し、エージェントランタイムはカーネルとして機能し、エージェントのコンテキストはプロセスメモリに類似する。この類比に基づき、著者らは OpenClaw 型エージェントのための統合アーキテクチャを導き出し、主要なコンポーネント（ランタイムコア、エージェントコア、ゲートウェイ、永続的/揮発性状態）と信頼境界を特定する。

2. 体系的な防御マッピング：著者らは、確立された OS セキュリティメカニズム（プロセス隔離、サンドボックス化、最小権限、ネットワークフィルタリング、データ実行防止など）を調査し、それらをエージェント対応の概念にマッピングする。どのメカニズムが直接転用可能か、どのメカニズムが適応を必要とするか、どのエージェント機能は設計上セキュリティが不十分なままかを分析する。

3. 実証的ケーススタディ：分析を検証するために、著者らは異なる設計哲学を代表する、広く使用されているオープンソースの OpenClaw 型エージェント 4 つを評価する：

   • OpenClaw：機能の幅広さに焦点を当てた「バニラ」変種。
   • IronClaw：隔離とサンドボックス化を優先する「セキュリティ」変種。
   • Nanobot：コードベースを削減した「ミニマリスト」変種。
   • NemoClaw：エージェントを安全なコンテナ内で実行する「ラッパー」変種。

   評価は、システムコール、ファイルアクセス、ネットワークトラフィックを観測するために eBPF ベースの監視を用いた制御環境（Debian 13.4 VM）で行われる。著者らは、攻撃者がソースコードの完全な知識を持つが、直接のハードウェアまたはホストレベルのアクセスを持たず、LLM を操作に脆弱な完全に信頼できないコンポーネントとして扱う脅威モデルを定義する。ハードウェアインターフェース、プロセス隔離、サンドボックス化、ネットワークフィルタリング、システムログを標的とした一連の現実的な攻撃シナリオを実行する。

主要な貢献

• AI エージェントに対する OS セキュリティの視点：本論文は、AI エージェントとオペレーティングシステムの間の形式的な類比を確立し、隔離、特権分離、仲介といった確立された概念を用いてエージェントのセキュリティについて推論するための枠組みを提供する。
• 統合されたエージェントアーキテクチャ：OpenClaw 型エージェントのための統合アーキテクチャを導き出し、コンポーネント、信頼境界、通信チャネルを明示的に定義することで、体系的なセキュリティ分析を容易にする。
• OS 防御の体系的な転用：著者らは OS の防御メカニズムをエージェントドメインにマッピングし、適用性によって分類するとともに、現在のエージェント設計が基本的なセキュリティ原則を強制できないギャップを特定する。
• 実証的評価：本研究は、4 つの人気のあるエージェントランタイムの包括的な実証的評価を提供し、現在の保護メカニズムが実際にはしばしば失敗し、脆弱性は OS レベルの技術を用いて説明および緩和可能であることを示す。

結果

ケーススタディは、評価された 4 つのエージェントのいずれも、テストされたすべての攻撃ベクトルに対して防御できないことを明らかにした。主要な知見には以下が含まれる：

• 広範な脆弱性：セキュリティを考慮して設計されたエージェント（IronClaw など）でさえ、サンドボックス化や特権分離の実装が不完全であるため、設定操作やシステムプロンプトの抽出などの特定の攻撃に脆弱である。
• 隔離の失敗：重要な発見として、4 つすべてのエージェントが信頼できるデータと信頼できないデータを共有された LLM コンテキストに供給しており、プロセス隔離の原則を違反している。これにより、一つのツールの中間出力が後続のツールに影響を与え、シェルコマンドインジェクションなどの攻撃を可能にする。
• 特権分離の違反：ファイルアクセス制御は、入力処理と同じ特権レベルで強制されることが多く、低特権の参照モニターによって仲介されるわけではない。
• 非効率的なサンドボックス化：サンドボックス化（IronClaw における WebAssembly、NemoClaw におけるコンテナなど）は特定の攻撃ベクトルを効果的にブロックできるが、部分的または誤設定された実装は重大なギャップを残す。例えば、NemoClaw はコンテナ化された設計にもかかわらず、システムプロンプトの抽出に対して脆弱であった。
• 普遍的な弱点：すべてのエージェントで観察された 2 つの弱点クラス：ユーザー間データ漏洩（ユーザーレベルのプロセス隔離の欠如）と不正なメッセージ送信（厳格なエGRESS フィルタリングの欠如）。
• LLM からの独立性：本研究は、これらの脆弱性が特定の LLM の推論能力ではなく、エージェントアーキテクチャとランタイム設計に起因することを確認する。なぜなら、異なるモデル（Qwen、Gemini、GPT）を跨いで攻撃が成功したからである。

意義と主張

本論文は、AI エージェントのセキュリティ確保は、その広大で多様な攻撃対象領域のために困難な課題であると主張するが、数十年にわたるオペレーティングシステムのセキュリティ研究を活用することで、有意義な進展が可能であると述べる。著者らは以下を主張する：

1. 回顧的分析の価値：AI エージェントにおける多くのセキュリティ上の課題は全く新しいものではなく、古典的な OS の問題の現れである。確立された OS のアプローチを再検討することは、エージェントシステムのセキュリティを確保するための原理的な枠組みを提供する。
2. 多層防御の必要性：LLM 中心の防御（プロンプトインジェクションの緩和など）のみに依存することは不十分である。安全な運用には、詳細なシステム知識、慎重な設定、および隔離、特権分離、仲介を含む多層防御の実装が必要である。
3. 現在のシステムに内在する設計欠陥：最小権限やプロセス隔離といった基本的な原則を違反しているため、いくつかのエージェント機能は設計上セキュリティが不十分なまま残っている。しかし、多くの脆弱性は、よく理解された OS 技術を用いて緩和可能である。
4. 即時の実行可能なステップ：著者らは、異なる実装で既に展開されている部分的なセキュリティメカニズム（サンドボックス化、ネットワークフィルタリング、ログ記録など）を単に統合するだけで、新規研究を必要とせずに大幅なセキュリティ改善が得られると結論づける。

本論文は、最終的な解決策としてではなく、AI エージェントの攻撃対象領域を構造化し、OS セキュリティ原則に基づいたより安全な状態へと将来の設計を導くための必要な一歩として位置づけられている。