マルチエージェントシステムの普及に伴い、エージェントの行動定義ファイル「AGENTS.md」を標的にした新たな攻撃手法が顕在化している。NVIDIAの研究チームが2026年4月に公表した分析によると、この攻撃は外部リポジトリのAGENTS.mdを経由してエージェントの動作を汚染するものであり、単一プロンプトの改変よりも検出が困難だ。問題の核心は、信頼できる内部ファイルだと思われていたAGENTS.mdが、サードパーティ製ツールやライブラリの取り込みを通じて外部から書き換えられる点にある。
攻撃の感染経路と発見の遅れ
AGENTS.mdはエージェントの役割や制約、ツール呼び出しのルールを記述したファイルであり、開発中のエージェントが参照する設計図にあたる。このファイルが改ざんされると、エージェントは機密情報を含むファイルを自動的に外部へ送信したり、正規のコマンドに偽装した破壊的操作を実行する可能性がある。NVIDIAのレポートでは、コードレビューを行うエージェントが改ざんされたAGENTS.mdを読み込んだ結果、バックドアを含むプルリクエストを承認してしまうシナリオが実証された。この攻撃の危険性は、エージェント自身が不正な指示を「自分のルール」として解釈するため、既存の入力フィルタリングでは防御しきれない構造にある。
マルチエージェント環境が生む脆弱性の連鎖
今回の問題は、エージェント同士が自律的に連携するアーキテクチャに固有の構造的リスクを示している。開発支援ツールのClineやCursor、GitHub Copilotエージェントモードなど、ファイルシステムへの読み書き権限を持つエージェントは、リポジトリ内のAGENTS.mdを自動的に参照する設計が多い。攻撃者は人気のあるオープンソースライブラリに悪意あるAGENTS.mdを埋め込み、依存関係を通じて標的プロジェクトに侵入を図る。この攻撃はエージェントがツールを動的に読み込むタイミングで発動するため、静的解析では感染を見落とす。NVIDIAは対策として、エージェントがファイルを読み込む際のサンドボックス実行と、AGENTS.mdの署名検証を組み合わせた多層防御を提案している。
エージェント制御レイヤーの産業化が加速
この脆弱性の発見は、エージェントの行動を管理するミドルウェア市場の重要性を浮き彫りにした。既にAnthropicはModel Context Protocol(MCP)でツール呼び出しの標準化を進めており、OpenAIもGPT-5向けにエージェント権限制御APIのベータ提供を開始している。エージェントのセキュリティ監視を専門とするスタートアップへの投資も活発で、2026年第1四半期にはGalactic ShieldがシリーズAで8000万ドル、PromptArmorがシード調達で1200万ドルを確保した。攻撃の高度化に比例して、セキュリティレイヤーがAIスタックの必須コンポーネントとして確立されつつある。
日本企業の開発現場における実務的影響
国内のシステムインテグレーターにおいても、複数のAIエージェントを連携させる社内システムの構築が進んでいる。特に製造業の品質管理や金融機関のコンプライアンスチェックでは、エージェントが社内ドキュメントやソースコードにアクセスするケースが一般的だ。これらの現場では、AGENTS.mdのような設定ファイルの完全性検証が内部統制の新たな対象となりつつある。情報処理推進機構(IPA)は2026年度の「AIシステムセキュリティガイドライン」改訂で、エージェント間通信の異常検知に関する項目の追加を検討している。
AIセキュリティ市場の再編と次の論点
今回の発表は、AIセキュリティの主戦場がプロンプトインジェクション対策からエージェントの行動保全へと移行したことを示している。今後の焦点は三つある。第一に、マイクロソフトやグーグルがAGENTS.mdに相当する設定ファイルの標準フォーマットを策定するかどうか。第二に、エージェントの動作ログをリアルタイム監視する専用ハードウェアの必要性の有無。第三に、保険業界がAIシステム障害を対象とするサイバー保険商品をどのような条件で設計するかだ。NVIDIAの報告は技術的な注意喚起にとどまらず、エージェント経済圏の成長に伴う制御コストの増大を市場に意識させる契機となった。
