数週間前、私の知人が「絶対にやらない」と誰もが誓うことをやってしまった。AIエージェントに自分のメールとカレンダーへのアクセス権を与えたのだ。「返信の下書きを作成して、私が承認する」というレベルではなく、本当のアクセス権を与えた。
最初は順調だった。受信トレイの整理——完了、いくつかの会議の移動——完了、きちんとしたリスケジュールの通知——完了。ところがある時、エージェントが間違いとは言えないが不透明な判断を下した。友人が子どもの学校への迎えのために死守している唯一の時間帯に、通話を入れてしまったのだ。カレンダー上は「機能している」ように見えた。しかし、その判断の理由付けは機能していなかった。誰もそれが計画だと決めていないのに、「便利」がいかに速く「主導権を握る」に変わるのかを思い知らされた。
同じミスマッチのパターンを繰り返し目にする。人々はプロンプトやワークフローに執着する一方で、広範なトークンを持つエージェントを送り出している。モデルが非難されるが、本当の問題はたいてい「誰が鍵を渡したのか」だ。
こうなると、もはやツールというよりも、1日全体に覆いかぶさるレイヤーのように感じられ、静かに小さな意思決定を下していく。権限、記憶、配布機能を持ち、他のエージェントを監視・模倣・協調する自律エージェントという、新しい環境に近い。
監督なしにAIエコシステムが成長することには問題がある
「監督なしのAIエコシステム成長」とは、多数の半自律型エージェントが実際の能力(ツール、認証情報、ワークフローなど)を獲得し、その行動が相互作用を通じて進化する状況を指す。パターンを共有し、戦術を複製し、シグナルに最適化する——これらすべてが、どのチームも監督できないほどの速さで起こる。
オープンソースのアシスタント(OpenClawなど)が重要なのは、実務に触れられるからだ。メール、カレンダー、ファイル、スクリプト、日常的な管理業務。実行できることが増えるほど、広範なアクセスを与えたくなる。「下書きする」ものと「行動する」ものの間には大きな違いがある。とりわけ、それがあなたの名義で行動するときには。
このアーリーアダプターの心理は、WIREDの報道にも見て取れる。プライバシーやコントロールを心配しながらも、個人用エージェントに生活の重要な側面を管理させる人々がいる。WIREDはMoltbot(旧Clawdbot)を、WhatsApp/Telegramを通じてメッセージを送り、仕事のスケジュールから家族の段取りまでを自動化するローカル実行型アシスタントだと説明した。明白なプライバシーとセキュリティの懸念があるにもかかわらずだ。
セキュリティ専門メディアも同じ境界線を指摘している。ひとたびエージェントが深い権限を持てば、設定ミスやプロンプトレベルの操作は運用上のリスクになる。Dark Readingの分析は、能力が制御パターンより速く到来しているという実務上の懸念を強調する。Dark Readingは、攻撃者がユーザーのメールアドレスだけで企業向けAIエージェントの制御を奪取できる「ゼロクリック」型のエージェント攻撃について報じた。これを読んだとき、私の最初の感想は「すごい」ではなかった。「クライアントのうち何社が、うっかりこれを構築してしまっているのか」だった。
ここに第2の要素を加えよう。エージェントが公開の場で他のエージェントから学ぶことだ。Moltbookが最近の例で、実質的にReddit風のフォーラムであり、AIエージェントが投稿し、コメントし、賛成票を投じる一方、人間は主として観察する。「それがプラットフォームになるかどうか」は要点ではない。動態こそが要点だ。エージェントが行動を公開で交換し始めると、孤立したアシスタントではなく、戦術のマーケットプレイスが生まれる。TechCrunchの報道は、この「エージェント同士が会話する」パターンがいかに急速に広がっているかを明快に伝えている。
経営層のAI議論の大半は、いまだに「アシスタントとワークフロー」という枠組みにとどまっている。生産性、自動化、コスト削減だ。これは有益だが、エージェントが運用上のアクセス権を得た瞬間に不十分になる。
従来のガバナンスは、人間のペースを前提としている。チケット、承認、変更管理委員会、四半期ごとの監査。変化が人間の速度で動くなら、そのリズムには意味がある。だがエージェントは秒単位で反復し、アクションを連鎖させ、あなたが気づくのは事後の出来事によってでしかないトリガーで動く。
だからこそ、Gartnerの2025年6月の予測は読む価値がある。プロジェクト中止の要因として、コストの増大、事業価値の不明確さ、不十分なリスク統制を結びつけている。難しいのは自律性ではない。ガバナンスだ。
人間の組織では、文化は模倣、地位、インセンティブを通じて広がる。エージェントのエコシステムでは、それらのメカニズムが高速ループへと圧縮される。模倣はコピー&ペーストになり、プロンプトやワークフローは即座に複製される。地位はランキングになり、可視性が行動をデフォルトに変える。インセンティブは歪み、システムは真実と整合しているかどうかに関係なく、シグナル(スピード、「正しそうに見える」)に最適化する。
その結果、パターンが広がっていく。そこには、責任を負う誰かが気づく前に「標準的なやり方」になってしまう、ひそかに有害なものも含まれる。
セキュリティリスクは1つの脆弱性ではない。エージェントのサプライチェーンだ
エージェントがスキルをインストールし、設定をインポートし、コミュニティの「ベストプラクティス」を採用できるようになると、最前線はモデルリスクから、エージェントのサプライチェーンセキュリティへと移る。プラグイン、指示パック、オートメーションバンドル、コミュニティを通じて流通する設定だ。
最も恐ろしい形は、「便利な」スキルが過剰なアクセスを求め、バンドルが安全でないデフォルトを同梱し、慎重さよりスピードを報いる規範が生まれることだ。エコシステムの速度では、「承認ステップを追加しよう」は安心材料であって、制御ではない。
さらに厄介なのは、エコシステムが生産性の物理法則も変えてしまうことだ
エコシステムは、専門化と交換を通じてレバレッジも生み出す。1つのスーパーエージェントは不要だ。必要なのは、スムーズに引き継ぎができるいくつかの用途特化型エージェントである。1つが受信リクエストをトリアージし、別の1つが記録を照合し、さらに別の1つが会社のトーンで文案を作る。その一方で人間は高リスクの行為を承認する。利点はスピードだ。欠点は、ミスも同じ速度で動くことにある。
エージェントは時に誤り、しかも速く誤るものだと想定せよ。あなたの仕事は完璧性ではない。被害の半径(blast radius)と迅速な復旧だ。ほぼゼロの権限から始め、厳密に時間を区切った範囲でアクセスを付与し、事後検証(ポストモーテム)で必要になるあらゆるログを残す。
支払い、本人性の変更、データのエクスポートについては、明示的な承認または追加認証(ステップアップ認証)を必須にする。複雑なものは分離し、アイデンティティ、トークン、環境を分ける。共有の認証情報プールは作らない。
「スキル」は信頼できない依存関係として扱い、許可リスト(allowlist)を使い、バージョンを固定(pin)し、署名し、スキャンする。アクションを発火させる前に、第二の意見(懐疑的な目)を加える。ブレーキを用意せよ。レート制限、異常検知、隔離、キルスイッチ。悪い文章よりも、後になって初めて気づくような「誰も気づかないまま行われたアクション」を心配すべきだ。
エージェントが運用に入った後に重要になるのはこれだ。機械速度で動作する自律ソフトウェアが動いたとき、誰が責任を負うのか。スライドの上ではない。オンコールのリストの中だ。長時間に及ぶインシデント対応の中だ。ポストモーテムの中だ。
エージェントのスコープ、権限、障害モードのオーナーとなる人物を指名していないなら、あなたが作ったのはイノベーションではない。責任を外注しただけだ。
開示:筆者は上記で言及したいかなるツールまたはプラットフォームとも金銭的関係はなく、いかなる報酬も受け取っていない。
