「AI PC」戦略の目玉としてコパイロット アクションを売り込んでからわずか 1 か月後、Microsoft は、このテクノロジーがシステム全体を侵害する可能性のある「新たなセキュリティ リスク」を引き起こすという憂慮すべき告白を発表しました。
この機能の Insider ロールアウトに伴うサポート ドキュメントの静かな更新で、同社は、攻撃者がクロス プロンプト インジェクション (XPIA) を介してこれらのエージェントを悪用してデータを窃取したり、マルウェアをインストールしたりする可能性があると警告しました。この開示は実質的に責任をユーザーに転嫁し、この脆弱性をセキュリティで保護されていない Office マクロと比較するセキュリティ研究者から即座に批判を引き起こしました。
Microsoft が生産性向上のためのシームレスな「マジック ロック解除」を約束した 10 月に最初に発表されたコパイロット アクションに関する私たちの報道に続いて、実装の現実ははるかに複雑であることが判明しました。
同社は安全なパートナーとして「AI PC」のマーケティングを続けていますが、新しく更新されたドキュメントでは、最初のマーケティング大作戦にはなかった重要な注意事項が明らかになります。
「新たなセキュリティ リスク」を静かに認める
11 月 17 日の Windows Insider への公開に伴う更新されたサポート ドキュメントには、エージェント AI の使用のリスク プロファイルを根本的に変える警告が埋め込まれています。
Microsoft は、「エージェント AI アプリケーションは、クロスプロンプト インジェクション (XPIA) などの新たなセキュリティ リスクを導入することを明確に認めています。クロスプロンプト インジェクション (XPIA) では、UI 要素やドキュメントに埋め込まれた悪意のあるコンテンツがエージェントの指示を上書きし、データの引き出しやマルウェアのインストールなどの意図しないアクションにつながる可能性があります。」
クロスプロンプト インジェクション (XPIA) として知られるこの脆弱性により、攻撃者は AI エージェントが処理する Web サイト、ドキュメント、または電子メールに悪意のある指示を隠すことができます。 エージェントはユーザーに代わって動作するように設計されているため、ユーザーが決して許可していないコマンドをだまされて実行される可能性があります。
外部操作の脅威以外にも、ドキュメントでは、モデル自体が引き続きエラーを起こしやすいことも認めています。
Microsoft は、「AI モデルは動作の点で依然として機能的な制限に直面しており、場合によっては幻覚を起こし、予期しない出力を生成する可能性がある」と述べています。これらの「機能制限」は、悪意のある干渉がなくても、エージェントがコマンドを誤解したりタスクを幻覚したりする可能性があり、ファイルを削除したり電子メールを誤送信したりする可能性があることを意味します。
重要なのは、Microsoft がこれらのリスクをユーザーの責任として位置づけていることです。サポートページは顧客に注意して続行するようアドバイスし、「このページで概説されているセキュリティへの影響を理解している場合」にのみこの機能を有効にすることを提案しています。
XPIA のような複雑な攻撃ベクトルを「理解する」責任をユーザーに課すことで、同社はこれらの実験的な機能がデータ侵害やシステム侵害につながった場合に、先手を打って責任を回避しているようです。
「マーベル スーパーヒーロー クラックのマクロ」
以前のバージョンの Office を悩ませたセキュリティの悪夢を反映して、専門家はすぐに「オプトイン」防御モデルを批判しています。
何十年にもわたって、Office マクロはマルウェア感染の主な媒介として機能していました。これは、ユーザーが生産性のニーズに駆り立てられ、セキュリティ警告にもかかわらずマクロを有効にしてしまうためです。
著名なセキュリティ研究者の Kevin Beaumont 氏は、この歴史と直接の類似点を描きました。この新機能は「マーベル スーパーヒーロー クラックのマクロ」であると述べています。
批評家は、Microsoft が約束している「コントロール」は平均的なユーザーにとってほとんど幻想的であると主張しています。 XPIA 攻撃をリアルタイムで検出することは、ほとんどの人にとって技術的に不可能です。悪意のあるプロンプトは多くの場合、人間の目には見えませんが、AI には完全に読み取れるからです。
別のセキュリティ研究者である Guillaume Rossolini は、ユーザーにこうしたやり取りを取り締まるよう求めることの無益性を指摘しました。注意 「Web サーフィンをしないこと以外に、ユーザーが言及しているようなことをどのようにして阻止するつもりなのかわかりません。」
リード・ミデケ氏は、この警告は単なる法的手段にすぎないと特徴付けました。同氏は、業界には迅速な注射のための技術的解決策が不足していると主張した。 「解決策は? ユーザーに責任を転嫁することだ」とミデケ氏は書き、注意した。「答えがわかっていれば、そもそもチャットボットは必要ないはずだ。」
この懐疑論は、セキュリティ コミュニティにおける「エージェント」に対する広範な懸念を反映している。大規模言語モデル (LLM) の根本的な脆弱性が解決される前に、これらの機能が市場に投入されています。
アーキテクチャと展開: 「エージェント ワークスペース」の現実
最初の「AI PC」の公開に関する鳴り物入りにもかかわらず、これらのエージェントの技術的な実装は特に慎重です。 Ignite 2025 開発者ブログによると、新しい「エージェント ワークスペース」は、完全な認証ではなく、範囲指定された承認を持つ並列 Windows セッションとして動作します。
パフォーマンスとセキュリティのバランスをとるこのアーキテクチャの選択は、一部の専門家が期待していた厳密な分離には至りません。
新たに明らかになったリスクを軽減するために、Microsoft はエージェントのファイル システムへのアクセスを 6 つの特定のユーザー プロファイル フォルダー (ドキュメント、ダウンロード、デスクトップ、ミュージック、写真、およびビデオ) に制限しました。この制限は、侵害されたエージェントが重要なシステム ファイルにアクセスできないように設計されており、ユーザーがアクセスできる領域内で潜在的な損害を抑えることを目的としています。
Microsoft の Windows エクスペリエンス担当コーポレート バイス プレジデントである Navjot Virk 氏は、最初の発表の際に期待に対処しようと試み、「最初はエージェントがいくつかの間違いを犯したり、非常に複雑なアプリケーションを使用しようとするといくつかの課題に遭遇するかもしれません。」
現在、この機能は 開発チャネルの Windows Insiders に展開しますが、デフォルトではオフのままで、切り替えるには管理者権限が必要です。潜在的な反発を強く認識していることを示唆するこのロールアウト戦略は、研究者が重大なプライバシー上の欠陥を暴露した後に廃止された、物議を醸したリコール機能を巡る惨事の再発を避けることを目的としていると考えられます。
