AIエージェントのクレデンシャル危機：6ヶ月の事件

2025年12月から2026年6月までの6ヶ月間、AIエージェントシステムは前例のないクレデンシャル危機を経験しました。一連のデータとセキュリティインシデントは、統治層と設計層の大きなギャップを明らかにしました。セキュリティ業界は検出と統治ツールを構築しましたが、クレデンシャルがそもそも存在するという設計上の問題に誰も取り組んでいません。

この危機は警告から始まりました。2025年12月、OWASPはエージェントアプリケーション向けセキュリティトップ10を公開し、アイデンティティと特権の乱用（ASI03）およびエージェントサプライチェーン脆弱性（ASI04）を重要リスクに指定しました。ほぼ同時に、世界経済フォーラムのグローバルサイバーセキュリティ展望レポートは、回答者の94%がAIを2026年のサイバーセキュリティ変化の最大の原動力と特定したと報告しました。付録には、単一の攻撃者がClaudeとMCPツールを使用してメキシコの6つの政府機関を侵害した事件が記載されており、これは史上初のAI組織型サイバースパイ活動とされています。

2026年初頭、脆弱性が相次いで発見されました。Claude CodeのCVE-2026-21852は、リポジトリをクローンするだけでAnthropic APIキーを攻撃者にリダイレクト可能にしました。オープンソースのAIエージェントOpenClawの初回セキュリティ監査では512の脆弱性が発見され、うち8つが深刻で、OAuthクレデンシャルが平文で保存されていました。1月31日、Wiz Securityの研究者はMoltbookのクライアントサイドJavaScriptにハードコードされたSupabase APIキーを発見し、150万の認証トークンと35,000のメールアドレスが漏洩しました。

2月、CVE-2026-25253がエージェントAIシステムに割り当てられた初のCVEとなり、CVSS 8.8で42,000以上のOpenClawインスタンスに影響を与えました。同時に、ClawHavocはClawHubマーケットプレイスに341の悪意スキルを配置し、AIエージェントエコシステムへのサプライチェーン攻撃が始まりました。3月、GitGuardianの年次報告書は2025年に公開GitHubで2,864万件の新しい秘密が露出し、34%増加したことを明らかにしました。AIサービス用クレデンシャルは81.5%急増し、2022年に確認された漏洩クレデンシャルの64%が2026年1月時点でも有効でした。

3月24日、LiteLLMのバージョン1.82.7と1.82.8にバックドアが仕掛けられ、攻撃者はPyPIのクレデンシャルを盗んで40分間に約47,000のダウンロードに悪意コードを注入しました。これは孤立したキャンペーンではなく、TrivyやCheckmarx KICSも同様に攻撃されていました。4月までにClawHavocの悪意スキルは1,184に増加し、ClawHub市場の約20%を占め、CrowdStrike CEOは初の主要AIエージェントサプライチェーン攻撃と名指ししました。

4月15日、OX SecurityはMCP STDIOトランスポートの設計上の欠陥を公開しました。攻撃者が設定ファイルを操作することで任意のシェルコマンドを実行可能で、LiteLLM、LangChain、Cursorなど10以上のプラットフォームに影響し、20万以上のインスタンスが脆弱でした。Anthropicは「期待される動作」と応答しました。その10日後、PocketOSのCursorエージェントがスコープ外のトークンを使用して9秒で本番データベース全体を削除する事件が発生しました。

5月のRSAC 2026では、Microsoft、Cisco、Google、Okta、1Passwordなどの大手ベンダーがエージェント向けセキュリティ製品を発表しました。1PasswordはUnified Accessのロードマップで「今年後半に、エージェントとマシンワークロードに対して実行時にスコープ付きクレデンシャルを発行する」と述べ、クレデンシャル自体を不要にする設計層の必要性を示唆しました。

2026年6月現在、セキュリティ業界は問題のすべての側面を測定しましたが、設計層の根本問題は未解決です。検出ツールは問題を見つけてもクレデンシャルを自動的にローテーションできず、統治フレームワークは原則を定義しても実装手段を提供していません。1Passwordのロードマップが示すように、真の解決策はクレデンシャルを不要にする設計にあります。