2026-06-01站内改写3 分で読了更新: 2026-06-01

AIエージェントが自身のメモリを通じて武器化されるのを防ぐ（OWASP）

OWASPは、AIエージェントのメモリポイズニングを防ぐオープンソースのランタイム防御層「Agent Memory Guard」をリリースしました。これはエージェントとメモリストアの間に位置し、検出器とYAMLポリシーを通じて読み取りと書き込みを監視します。ベンチマークでは、再現率92.5%、精度100%、偽陽性率0%、中央値レイテンシ59μsを達成しました。

ソースHacker News AI著者: vgudur297

記事インテリジェンス

エンジニア中級

要点

Agent Memory Guardは、OWASPがエージェント型アプリケーション向けに策定したメモリポイズニング（ASI06）のリファレンス実装です。
SHA-256整合性、プロンプトインジェクション、機密データ漏洩、保護キー改ざん、サイズ異常の5つの検出カテゴリを備えています。
ベンチマークでは55のテストケースに対して再現率92.5%、精度100%を達成しました。
将来のバージョンでは、MLベースの異常検知と適応型しきい値調整が計画されています。

重要な理由

このニュースが重要なのは、Agent Memory Guardは、OWASPがエージェント型アプリケーション向けに策定したメモリポイズニング（ASI06）のリファレンス実装ですためです。

技術的影響

モデル選定、推論コスト、プロダクト能力、評価基準に影響する可能性があります。

2026年6月1日、OWASPはAgent Memory Guardをリリースしました。これは、AIエージェントのメモリポイズニング攻撃を防ぐためのオープンソースのランタイム防御層です。AIエージェントはセッション間でメモリを保持し、会話履歴、ベクターストア、スクラッチパッド、RAGインデックスが実行間で永続化されます。攻撃者はこれらのストアに悪意のあるテキストを埋め込むことで、エージェントの指示を上書きしたり、ユーザーデータを抽出したり、将来のツール呼び出しを操作したりでき、その効果はメモリが残る限りセッションを越えて持続します。

Agent Memory Guardは、エージェントとそのメモリストアの間で動作するランタイム防御層です。検出器のパイプラインとYAMLポリシーを通じて、すべての読み取りと書き込みをスクリーニングします。5つの主要な検出カテゴリを備えています：SHA-256ベースラインによる不変キーの改ざん検出、プロンプトインジェクションマーカー、機密データ漏洩、保護キーの変更、サイズ異常。YAMLポリシーは各発見に対して許可、編集、隔離、ブロックのアクションをマッピングします。すべての決定は構造化されたSecurityEventを生成し、ポイントインタイムスナップショットにより、オペレーターはメモリを既知の良好な状態にロールバックできます。LangChain用のドロップインチャット履歴クラスと、モデル入力、出力、ツール出力をスクリーニングするミドルウェアパッケージも提供されています。

ベンチマークでは、5つの検出器に対して55のテストケース（4カテゴリの40の攻撃ペイロードと15の良性サンプル）を実行しました。再現率は92.5%、精度は100%、偽陽性率は0%、中央値レイテンシは59マイクロ秒でした。プロンプトインジェクションと保護キー改ざんはそれぞれ100%のスコアを達成し、機密データ漏洩は83%、サイズ異常は80%でした。混同行列では、37の真陽性、3の偽陰性、0の偽陽性が記録されました。

プロジェクト作成者でありOWASPプロジェクトリーダーのVaishnavi Gudur氏は、機密データカテゴリの2つの見逃しについて、APIトークンの長さが固定長の正規表現パターンをわずかに超えていたためと説明しました。1つはghp_プレフィックス後の37文字のGitHub個人アクセストークン（検出器は36文字を想定）、もう1つはAIzaプレフィックス後の38文字のGoogle APIキー（35文字を想定）でした。漏洩検出器は固定長数量子を使用しており、これは精度を優先してランダムな英数字列の誤検出を減らす意図的な選択ですが、プロバイダーがトークン形式を拡張すると陳腐化します。3つ目の見逃しは、58,913バイトにシリアル化されたネストJSON構造で、64KBのしきい値をわずかに下回っていました。本番環境では、キーの以前の値に対する10倍の成長をチェックする2回目の検査で捕捉できるとしています。Gudur氏は、より高い再現率の正規表現バリアントと適応型しきい値調整をv0.3.0で計画していると述べました。

オープンソースコードと可視なYAMLポリシーにより、攻撃者はルールを読むことができます。しかし、保護キーチェックはキーパスで動作するため、ルールを知っていてもバイパスは不可能であり、SHA-256整合性は変更された不変値に対して決定的な不一致を生成します。機密データマッチングはより露出しており、base64エンコーディング、文字分割、同形異義語などにより、正規化前の検出器を回避できる可能性があります。適応型回避テストが計画されており、AgentThreatBench（現在inspect_evalsフレームワークに統合）は、公開ルールを考慮した回避認識ペイロードセットを追加します。防御面では、v0.4.0で意味的特徴に基づくML異常検知を追加し、v0.3.0ではチームが公開YAMLの外に保管できるカスタム検出器用のプラグインインターフェースを追加します。

AIの役割について、Gudur氏は「GitHub Copilotはボイラープレートとスキャフォールディングに使用しました」と述べ、テスト設定、CI/CD設定、pyproject.tomlファイル、正規表現のドラフト、READMEセクションとドキュメント文字列を例に挙げました。検出器パイプラインアーキテクチャ、ポリシーエンジンの分離、MemoryStoreプロトコル、スナップショットとロールバックメカニズム、ソースクラスの出所システムは、OWASP ASI06脅威モデルに対して人間が設計しました。40のベンチマークペイロードも手作業でキュレーションされました。Gudur氏は、知的貢献は攻撃面の特定、防御の設計、厳選された敵対的コーパスに対する検証にあり、Copilotをボイラープレートに使用することは標準的な慣行であると述べました。

OWASP Agent Memory GuardはGitHubで無料で入手できます。