%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
AIエージェントが自律性と協働性を進化させる中、企業が直面するセキュリティの課題は技術そのものにとどまらず、深い信頼の危機へと発展しています。4月29日、第9回デジタル中国建設フォーラム「エージェントイノベーションとガバナンス」で、アリババグループのセキュリティ最高責任者である陳亮氏はテーマスピーチを行い、初めてクロスエージェント協働における隠れた3つの「信頼のブラックホール」を体系的に明らかにし、企業向けエージェントのためのネイティブなセキュリティアーキテクチャを発表しました。
3つの「信頼のブラックホール」:クロスエージェント協働の致命的な弱点
2026年初頭、ノースイースタン大学などの機関による「Agents of Chaos」研究では、OpenClawフレームワークを基盤として、複数の実際のツール呼び出し能力を持つ自律エージェントを配置し、2週間の赤チームテストが行われました。その結果、エージェントが複雑でオープンな環境において一般的に非所有者による合規性不足、センシティブな情報漏洩、破壊的なシステムレベルの操作といった深刻なセキュリティ問題に直面している可能性が示されました。
陳亮氏は、多エージェント協働が単一システム内部から組織間やプラットフォーム間の場面へと拡大する中で、3つの「信頼のブラックホール」が企業のスケーラブルな展開を制限していると指摘しました。第一は「主体の身分検証不可能な黑洞」です。攻撃者はエージェントの識別情報を偽造したり、従業員アシスタントの身分を借りて「身分の洗浄」を行うことで権限を越えてアクセスし、複数の中間ノードが上流の身分声明を改ざんし、下流側が発信者の合法的な身分を確認できない状況が生じます。第二は「意図の改ざん防止不能な伝達の黑洞」です。クロスエージェント協働のフローの中で、ユーザーの指示が中間ノードによって悪意を持って改ざんされる可能性があり、資金の所有権やデータの権限などの重要な情報がずれてしまうことがあります。第三は「承認範囲の制御不能な黑洞」です。多段階の委任シーンにおいて、下流エージェントが上流の承認範囲を超えた能力を得る可能性があり、権限が連鎖的に拡大してしまうことがあります。
IIFAAが中国通信研究院、アリババグループなど数十の機関と共同で発表した業界洞察によると、MCPやA2Aプロトコルの主な重点は相互運用性と呼び出し接続にあり、エージェントのネイティブな信頼に関する問題である主体の追跡、意図の完全性、多段階委任の境界縮小、実行の監査可能さなどをカバーできていません。現行のセキュリティソリューションはエージェント固有の攻撃シナリオに対応する際に明確な欠点があります。
解決策:ASLプロトコルで「エンド・トゥ・エンドの検証可能な信頼チェーン」構築
上述の空白に対応して、陳亮氏が提案した解決策は「Security by Design(設計時にセキュリティを確保)」の理念に基づくエージェントセキュリティ信頼接続プロトコルであるASL(Agent Security Link)です。ASLはエージェント協働フロー上の信頼できる接続プロトコルスタックであり、MCPやA2Aなどの既存のエージェント相互運用プロトコル上に重ねて導入することが可能です。これにより、エージェント間の協働に検証可能で、伝達可能で、制約可能で、監査可能な信頼の基礎が築かれます。
ASLは「4つの能力コンポーネント+セキュリティインフラストラクチャー」の階層構造を採用しています。下位レイヤーでは、ソフトウェア隔離からハードウェア隔離までの段階的なセキュアな実行環境およびデバイスバインディングキーマネジメントシステムが提供されます。上位レイヤーでは、信頼できる身分、信頼できる接続、信頼できる意図、信頼できる承認という4つの主要モジュールがそれぞれ、検証可能な身分のバインディング、セッションレベルのセキュアなチャネル、改ざん防止の意図の伝達、そして多段階委任での承認境界の厳密な縮小と拡張防止を実現します。これは、各エージェントが協働フローで行うあらゆる操作が記録可能であり、すべての承認が境界内で制限され、すべての意図の伝達が改ざん防止されていることを意味します。
支払いのシナリオにおいて、ASLはACTエージェントビジネス信頼プロトコルと連携して動作します。ASLはエージェント間のセキュアな接続と承認制御を担当し、ACTはビジネス取引の信頼基盤の構築を担当し、即時決済や代理購入などのシナリオの実装をサポートします。
「受動的対応」から「本来の信頼性」への転換:全フローのセキュリティ閉ループ
ASLプロトコルの導入は、陳亮氏が提唱するエージェントネイティブセキュリティフレームワークの一環です。このフレームワークでは、従来の「脆弱性の発見→パッチの公開」という受動的な対応ではなく、エージェントの「本来の信頼性」を保証するように、階層的な隔離と深層防御のガバナンス設計により、エージェントのライフサイクルのあらゆる段階にセキュリティ機能を内蔵します。
具体的には、フレームワークは身分と権限管理(統一された身分体系、「エージェント実行ライセンス」の動的なライフサイクル管理)、実行時セキュリティ保護(「デジタル社員憲法」に基づく5段階の戦略管理)、エージェントOSとインフラストラクチャーのセキュリティ(Landlockサンドボックス、名前空間の隔離、TEEハードウェア隔離などのメカニズム)を含みます。このシステムにより、エージェントが企業間やプラットフォーム間での協働シーンにおいて、主体の身分が検証可能で、意図が改ざんされず、承認範囲が厳しく制御される「エンド・トゥ・エンド」のセキュリティ保障が常に確保されます。