テンセントがAIエージェント向けレッドチームフレームワーク「AI-Infra-Guard」を公開、MCPサプライチェーンの脆弱性を初監査
2026年7月9日 17:44
中国テンセントの朱雀ラボ(Zhuque Lab)は、AIエージェントのセキュリティを多角的に検証するオープンソースのレッドチームフレームワーク「AI-Infra-Guard」を公開した。本フレームワークは、従来のツールが見落としていたAIエージェントの多層的な攻撃面に着目し、インフラ、プロトコル、エージェントの振る舞い、モデルの4つのレイヤーそれぞれに適した検証手法を提供する。特に、業界標準となりつつある「Model Context Protocol(MCP)」のサプライチェーンにおける脆弱性監査に対応した点が、セキュリティコミュニティから強い関心を集めている。
■従来のレッドチームツールが抱える限界
「AI-Infra-Guard」が登場する以前のAIレッドチームエコシステム(米マイクロソフトの「PyRIT」、米エヌビディアの「Garak」、「Promptfoo」など)は、主に「モデルレイヤー」を対象としていた。これは、ユーザーや開発者と、基盤となる大規模言語モデル(LLM)との直接的なインターフェースを指す。これらのツールは、悪意のあるプロンプトやジェイルブレイク(脱獄)によって、LLMが有害なコンテンツを出力するかどうかをテストする。しかし、このアプローチはモデルがテキストに応答するだけの段階では十分だったが、モデルがWebサイトを閲覧し、ファイルを読み込み、APIを呼び出し、コードを書いて実行する「自律型エージェント」となった現代においては不十分である。
マイクロソフトのPyRITおよびCounterfitプロジェクトの共同開発者であるラジャ・セカール・ラオ・ディーコンダ(Raja Sekhar Rao Dheekonda)氏は、2026年5月にHelp Net Securityが公開した分析の中で、現在の状況を「セキュリティや安全性の検証というよりも、ライブラリ設定をめぐる力任せのエンジニアリング作業にすぎない」と批判している。同氏の指摘は、AIレッドチームのツールキットが拡大・断片化する一方で、エージェントシステムのインフラ、プロトコル、サプライチェーンの各レイヤーがほとんど監査されないまま放置されているというミスマッチを浮き彫りにしている。
この課題は、OWASP(Open Web Application Security Project)が2025年12月の「Black Hat Europe」で発表した「Top 10 for Agentic Applications 2026」でも公式に定義されている。同フレームワークでは、自律型AIシステムに特有の10の不審なリスクカテゴリ(エージェントの目標乗っ取り、ツールの悪用、エージェントサプライチェーンの侵害、メモリおよびコンテキストの汚染など)を特定しているが、これらはLLMレイヤー向けのレッドチームツールだけでは対処できない領域である。
■4つのレイヤーに対応する検証パラダイム
AI-Infra-Guardの設計思想は、AIエージェントの攻撃面はレイヤーごとに根本的に異なる検出パラダイムを必要とし、誤ったパラダイムを適用すると誤検知や脆弱性の見落としにつながるというものだ。同フレームワークは攻撃面を4つのレイヤーに分類し、それぞれに異なる手法を割り当てている。
第1に「インフラレイヤー」は、モデルサービングエンジン、エージェントプラットフォーム、APIゲートウェイ、およびそれらが依存するソフトウェアスタックをカバーする。ここでは、既知の脆弱性シグネチャとコンポーネントバージョンを照合する「決定論的なルールマッチング」が適している。AI-Infra-Guardは、正規表現とは異なる独自のルールマッチング言語を実装し、75以上のAIコンポーネントと1,400以上の脆弱性ルールに対応している。エンジンは2段階のアプローチを採用しており、まずどのAIコンポーネントが存在するかを特定し、次にそのバージョンを抽出してルールデータベースと比較する。バージョン表記のばらつきを吸収するための正規化処理も行われる。
第2に「プロトコルおよびツールレイヤー」は、MCPサーバーやエージェントのスキルパッケージ(エージェントが外部サービスと対話するためのインターフェース)をカバーする。このレイヤーの脆弱性は「意味論的(セマンティック)」なものであるため、ルールベースのマッチングは機能しない。例えば、一見正常に見えるツールの説明文が、エージェントを悪意のある動作へと誘導するようなケースはシグネチャでは検出できない。そこでAI-Infra-Guardは、コードを読み、コマンドを実行し、ネットワークにアクセスしてMCPサーバーの動作を監査する「ReAct(Reasoning + Action)ループ」を備えたLLMエージェントを使用する。技術レポートのセクション6.7では、監査を実行するスキャナー自身のエージェントが、悪意のあるMCPサーバーから攻撃を受けるリスク(間接的プロンプトインジェクションなど)についても言及しており、フレームワークにはこれに対する防御策が組み込まれているが、完全に免疫があるわけではないとしている。
第3に「エージェントの振る舞いレイヤー」は、複数ターンの対話においてエージェントがどのように応答するかをカバーする。単一のプロンプトテストでは問題が検出されなくても、会話が長引くにつれてデータ漏洩や不正なツール呼び出し、認可バイパスへと誘導されるシナリオを想定している。AI-Infra-Guardは、データ漏洩、ツールの悪用、間接的インジェクション、認可バイパスの4つのリスクファミリーにわたるブラックボックステストを実施する。複数の並行ワーカーが同時に攻撃スレッドを実行し、エスカレーション制御メカニズムによってテストの計算コストを管理する。
第4に「モデルレイヤー」は、従来のツールでも扱われていた領域である。AI-Infra-Guardのジェイルブレイク検証機能には、複数の攻撃手法を同時に組み合わせてモデルの安全対策を回避する「複合的難読化」を含む26以上の攻撃オペレーターが含まれている。16のデータセットにわたって実行され、モデルのバージョンやプロバイダー間で比較可能な攻撃成功率を定量的に算出する。
■MCPセキュリティが極めて重要な理由
MCP(Model Context Protocol)は、Anthropicが2024年に導入したオープン標準であり、OpenAI、Google DeepMind、Microsoft、AWS、および多くのエンタープライズツールベンダーが採用している。2026年初頭時点で、MCPは月間9,700万回のSDKダウンロード数を記録し、1万以上のパブリックサーバーが稼働するデファクトスタンダードとなっている。2025年12月には、Anthropic、OpenAI、Blockなどが共同設立したLinux Foundation傘下の「Agentic AI Foundation」に同プロトコルが寄贈された。
この共通規格化に伴い、MCPを標的としたサプライチェーン攻撃のリスクが現実化している。例えば、「postmark-mcp」と呼ばれるパッケージは、パブリックレジストリに15個のクリーンなバージョンを公開して信頼を獲得した後、処理するすべてのメールのBCCを攻撃者が制御するサーバーに密かに送信するコードを1行だけ追加した。この「信頼されたパッケージを侵害し、普及を待ってから改ざんする」というサプライチェーン攻撃の手法は、2020年に発生したSolarWindsの大規模サイバー攻撃と同じ構図であり、現在はAIエージェントのスキルエコシステムで実行されている。
2025年10月に公開された独立系セキュリティ分析によると、6つのパブリックレジストリに登録されている67,057個のMCPサーバーをスキャンしたところ、833個に悪用可能な脆弱性があり、18個にエージェントの動作を誘導する不審なツール説明文が含まれていた。AI-Infra-Guardのサプライチェーン監査レイヤーは、これらのリスクを検出し、証拠の位置、影響を受けるファイル、リスクカテゴリ、深刻度、推奨される緩和策を含む構造化レポートを出力する。また、9つの脅威カテゴリにわたる62,652個のエージェントスキルから抽出された5,520個の評価ケースを含むベンチマーク「SkillTrustBench」を導入しており、これはOpenClawエコシステムの外部セキュリティスキャンプロジェクト「ClawScan」にも推奨評価データセットとして採用されている。
■AIエージェントのセキュリティ不備がもたらす現実の被害
AIエージェントを標的にした脅威は理論上の話ではない。2025年9月、Anthropicは中国の国家支援を受ける攻撃グループ「GTG-1002」が、防衛、エネルギー、テクノロジー分野の約30の標的に対して自律的なサイバースパイ活動を行うため、Claude Codeの展開環境を乗っ取ったことを検出した。これは、主にAIエージェントによって実行されたことが確認された初の大規模なサイバー攻撃である。また、2025年12月には、攻撃者がエージェントワークフローを利用してメキシコ政府の10以上の機関に侵入し、検知される前に1億9,500万件の納税者レコードを窃取した。さらに2026年3月には、多くのエージェントフレームワークの基盤となるモデルゲートウェイライブラリ「LiteLLM」に対するサプライチェーン攻撃が発生し、バックドアが仕込まれた2つのバージョンがPyPI(Python Package Index)に公開され、削除されるまでの3時間に約4万7,000回ダウンロードされた。
業界の調査によると、2026年におけるAIエージェント関連のデータ侵害の平均被害額は470万ドル(約7億6,140万円、1ドル=162円換算)に達し、エージェントが関与しないデータ侵害よりも約67万ドル(約1億854万円)高くなっている。これは、複数のシステムに接続されたエージェントが侵害されると、初期侵入の被害が拡大し、復旧作業も複雑化するためである。2026年6月にGraviteeが実施した調査では、本番環境でAIエージェントを運用している組織の88%が、過去1年間にセキュリティインシデントを確認または疑ったと回答している。
■導入前にセキュリティチームが留意すべき点
AI-Infra-GuardはApache 2.0ライセンスで公開されており、論文とコードは無料で利用できる。ただし、エンタープライズ環境への導入を検討するセキュリティチームは、同ツールの設計上の特徴を理解しておく必要がある。論文に明記されている通り、本フレームワークは監査中に「テンセントクラウド(Tencent Cloud)」の脅威インテリジェンスAPIを統合している。スキャンが実行されると、不審なダウンロードURL、バイナリハッシュ、外部インフラの詳細、サードパーティ依存関係に関連するサプライチェーンリスク指標などの外部レピュテーションシグナルがテンセントクラウドに送信され、スキャナーの精度向上に役立てられる。
テンセントは中国の深センに本社を置いている。中国の「国家情報法」(2017年)第7条に基づき、すべての中国の組織および市民は国家の情報活動を支持、支援、協力する義務を負う。また、2026年1月に改正された「サイバーセキュリティ法」第28条に基づき、ネットワーク運営者は公安機関や国家安全機関に対して技術的な支援を提供する義務がある。法的アナリストは、企業のプライバシーポリシーの内容にかかわらず、政府の安全保障機関から直接要請があった場合、中国の裁判所が救済措置を提供するとは期待できないと指摘している。実務上の影響として、AI-Infra-Guardが脅威インテリジェンスの照合のためにテンセントクラウドに送信するインフラのメタデータは、この法制度の適用対象となる可能性がある。
このことは、AI-Infra-Guardが使用に適さないことを意味するわけではない。しかし、特に機密性の高いシステムや分類されたシステムを対象とする場合、導入前にデータ共有の設計を理解しておくことが重要である。規制の厳しいセクターや、厳格なデータローカライゼーション要件を持つ組織は、監査データをテンセントクラウドのAPI経由で処理することがコンプライアンス方針と適合するかどうかを判断する必要がある。本フレームワークはオープンソースであり、API統合の仕組みは検証可能であるため、外部への通信を遮断したクローズドな環境(エアギャップ環境)での運用が必要なチームは、展開前にどのコンポーネントが外部呼び出しを必要とするかを確認すべきである。
■注目ポイントQ&A
●AIエージェントのレッドチーム演習は、標準的なLLMの安全性評価とどのように異なりますか?
標準的なLLMの安全性評価は、制御されたプロンプトと応答の環境において、モデルが有害なコンテンツを出力するかどうかをテストします。一方、AIエージェントのレッドチーム演習は、モデルがツール、API、外部データソースに接続され、現実世界に影響を与えるアクションを実行する状況をテストします。標準的な安全性評価をすべてクリアしたモデルであっても、閲覧したWebページに埋め込まれた悪意のある指示(間接的プロンプトインジェクション)によって乗っ取られたり、MCPサーバー内の汚染されたツール説明文を通じて操作されたりする可能性があります。
●AI-Infra-Guardを使用してMCPサーバーの脆弱性をテストするにはどうすればよいですか?
AI-Infra-Guardのプロトコル/ツールレイヤーは、ReAct(Reasoning + Action)エージェントを使用してMCPサーバーのコードと動作を監査します。このエージェントがサーバーコードを読み、コマンドを実行し、ネットワークにアクセスすることで、ツールの説明文の改ざんや間接的プロンプトインジェクションの経路、サードパーティのスキルパッケージにおけるサプライチェーンリスクを特定します。スキャン結果は、証拠の位置や影響を受けるファイル、リスク分類(正常、不審、悪意あり)を含む構造化レポートとして出力されます。
●テンセントが中国企業であることを踏まえ、AI-Infra-Guardの安全性はどう評価すべきですか?
ツール自体はオープンソースであり、GitHub上でコードを検証可能です。ただし、スキャン実行時にURLやバイナリハッシュ、依存関係情報などのインフラメタデータがテンセントクラウドの脅威インテリジェンスAPIに送信される設計になっています。テンセントは中国の国家情報法(2017年)の適用対象であり、政府からの情報提供要請に協力する義務があります。そのため、機密性の高い環境に導入する場合は、外部通信を伴うコンポーネントを確認し、組織のデータハンドリング要件に適合するか事前に評価する必要があります。
元記事: AI Agent Red Teaming: Tencent Framework Audits MCP Supply Chain for First Time