AIエージェントがコンピューターを操作する方法は、2通りある。1つは、デジタルフォレンジック(電子鑑識)の調査官が「人がその操作をした」と証明するために使う記録を、一切残さない方法。もう1つは、あたかも人が操作したかのように見える記録を残す方法だ。そして、どちらの場合であっても、法廷における次なる言い逃れは、すでにごく普通のコンピューターにインストールされている。
警鐘を鳴らすのは、オービー・キャロルだ。SANS Instituteの主任講師で、同機関のWindowsフォレンジック分析講座の共同執筆者であり、米司法省サイバー犯罪ラボの責任者も務める人物である(今回の警鐘は個人の立場によるもの)。キャロルは新たな論文の中で、この言い逃れに「SAIDI(some artificial intelligence did it=何らかのAIがやった)」という名前を与えた。実は、弁護士たちは何十年も前から、その先祖にあたる論法に頼ってきた。「SODDI(some other dude did it=誰か別の人間がやった)」、すなわち「Wi-Fiは開放されていた」「アカウントは共有されていた」「マルウェアの仕業だった」──要するに、キーボードの前にいたのは被告人以外の誰かだったという主張である。その後継版であるSAIDIは、この正体不明の人間を、ユーザー自身がインストールしたAIアシスタントに置き換えたものだ。
論文の土台になっているのは、管理された環境での実験だ。キャロルはWindows 11マシンのOneDriveフォルダーにWord文書を置き、AIエージェント(オープンソースのOpenClawフレームワーク上でAnthropicのClaudeを動かしたもの)に対し、文書を開いて要約の段落を追加し、保存するよう指示した。エージェントは作業をやり遂げた。ただし、人間と同じやり方は1度も取らなかった。Wordを開く代わりに、ウィンドウの表示もクリックも伴わない無音のプロセス、すなわち不可視のPowerShell(Windowsの自動処理ツール)セッションの中で、プログラミング用ライブラリーを使ってファイルを書き換えたのだ。文書は変更された。その変更はクラウドにも同期された。Wordが起動したのは、最後に出来上がったファイルを表示するためだけだった。
その結果、人間が文書を開いたときにWindowsが作成する記録──ショートカットファイル、最近使った文書の一覧、調査官が真っ先に確認するレジストリ(Windowsの設定情報データベース)の項目──は、一切作成されなかった。これらの記録に頼る調査官であれば、「この文書は1度も開かれていない」と報告していただろう。しかし、その結論は誤りだ。キャロルがこの実験を行ったのは、その誤りがいかに簡単に起きるかを示すためだった。
フォルダー内のファイルは、もはや「本人が触れた」証拠にならない
デジタルな証拠をめぐる争いは、多くの場合、操作した人物の特定、つまり「誰がキーボードの前にいたのか」という1点に行き着く。雇用関係の訴訟では、誰が顧客リストをコピーしたかが争点になる。詐欺の捜査では、誰が請求書を改ざんしたかが争点になる。そのため数十年にわたり、調査官はデジタル版の「足跡」──人がフォルダーをたどりファイルを開く際に、OS(基本ソフト)が残す一連の記録──によって、この問いに答えてきた。
ところが、一部のエージェントはそうした足跡を残さない。そもそも正面玄関から歩いて入らないからだ。その一方で、別のエージェントは人間と同じようにWordを操作し、人間がやったようにしか見えない記録を残すかもしれない。
逆方向の誤りも、同じくらい危険だ。個人フォルダーに置かれた変更済みのスプレッドシートは、本人が操作した証拠に見える。だが実際には、曖昧な指示に基づいて、あるいは誰も出した覚えのない指示に基づいて、AIアシスタントが行った作業かもしれないのだ。
キャロルは、この2つの誤りのパターンを端的に説明している。記録が見つからないために「何も起きなかった」と結論づける調査官と、ファイルが見つかったために「ユーザーが作成した」と結論づける調査官だ。こうした誤りが起きれば、無実の人が、自分のアカウントの下でソフトウェアが行ったことの責任を負わされかねない。その一方で、罪を犯した者は、雇用主が導入してくれたAIコパイロット(作業支援AI)を指さして言い逃れできてしまう。



