Excessive Agencyとは

Excessive Agencyとは、AIに与えすぎた機能・権限・自律性が原因で、AIの想定外な出力や操作された出力が“実害のある操作”を引き起こしてしまう脆弱性のことです。OWASP（Webの安全指針で知られる団体）が定めたLLMアプリのリスク一覧で、LLM06に位置づけられています。

三つの「与えすぎ」が原因

OWASPは、原因を三つに整理しています。(1)使わない機能まで持たせる「機能の与えすぎ」、(2)読むだけでいいのに書き込み権限まで渡す「権限の与えすぎ」、(3)人の承認なしに重要な操作までさせる「自律性の与えすぎ」の三つです。AIエージェント（自分でツールを呼び、作業を進めるAI）の時代になり、この“与えすぎ”のリスクは一段と大きくなりました。

具体的に何が起きるのか

たとえば、顧客対応AIを社内のCRM（顧客管理システム）や課金システムにつないだとします。もしプロンプトインジェクションでAIがだまされると、無断で返金処理をしたり、顧客情報を外部にもらしたりしかねません。引き金は“だます手口”でも、被害をここまで大きくするのは“与えすぎた権限”のほうです。両者は別の問題として切り分けて考えたいところでしょう。

守りの基本は「最小限」

OWASPが挙げる対策は、どれも“絞る”が軸になります。使うツールと機能を必要最小限にする、ユーザー本人の権限の範囲で動かす、送金や削除など取り返しのつかない操作には人の承認をはさむ。さらに、ツールごとに使用回数の上限を設け、万一すり抜けられても被害の広がりを抑える。AIに任せきりにせず、影響の大きい操作だけは人が関所に立つのが要でしょう。

Excessive Agencyに関するよくある質問

プロンプトインジェクションとは違うのですか？

違います。プロンプトインジェクションはAIをだます“きっかけ”の手口で、Excessive Agencyは、だまされたAIが大きな実害を出せてしまう“器の大きさ”の問題です。きっかけを完全には防げない前提で、器のほうを小さくしておくのが守りの考え方になります。

自社でAIを導入するとき、まず何を確認すべきですか？

そのAIにどんなツール権限を与えているかを点検することです。読み取りで足りる業務に書き込みや外部送信の権限まで与えていないか、取り返しのつかない操作に人の承認が入っているかを確かめましょう。