Agentic OS 技術スタックを下から読む 第45回：取り込んだものは、あなたの権限を受け取る ―― 依存とサプライ網の信頼

Agentic OS 技術スタックを下から読む 第45回：取り込んだものは、あなたの権限を受け取る ―― 依存とサプライ網の信頼

文脈の手入れから、また安全へ

前回は、文脈の窓をどう手入れするかを見ました。広げるだけでは足りません。何を残し、何を捨て、何を近くに置くかで、エージェントのふるまいは変わります。

今回は、また別の安全の層へ降ります。

前に安全を見た回では、まず、できる操作を内側で狭める話をしました。第26回です。どれほど賢く見える仕組みでも、勝手に許可証を書き換えられるなら、そこで終わります。

第35回では、エージェントが網になると何が壊れるかを見ました。一つの失敗が、一つの場所で止まらない。つながりを伝って広がります。

今回は、もう一つの面です。あなたが外から取り込むものへの信頼です。依存、道具、外部の部品。便利だから入れるものです。けれど、入れた瞬間、それは外のものではなくなります。あなたの内側で動くものになります。

取り込んだものは内側で動く

攻撃は、いつも外壁を破って入るわけではありません。むしろ、招き入れられて入ることがあります。

ある部品を、便利だから取り込みます。すると、その部品は、あなたの作業場の中で動きます。あなたの権限で動きます。あなたの鍵やパスワードの類の近くで動きます。あなたの文脈の中で動きます。

ここが大事です。外から来る攻撃なら、まず壁を越えなければなりません。穴を探し、入口を探し、守りを越える必要があります。

けれど、取り込まれた部品には、その段階がありません。もう中にいます。あなたが入れたからです。

内側で動くとは、単に同じ機械の上で動くという意味ではありません。同じ環境の値を読めることがあります。同じ作業用のファイルに触れることがあります。同じ通信路を使えることがあります。同じ自動処理の身元を使えることがあります。

つまり、部品は小さく見えても、置かれる場所は小さくありません。あなたの仕事の流れに差し込まれた瞬間、部品はあなたの手の届く範囲を、かなり広く共有します。

招いた瞬間に走り出す

取り込みは、ただ棚に置くだけだと思いがちです。使うときに初めて動く。そう考えたくなります。

しかし、そうとは限りません。

外から部品を取り込む手順には、準備のための小さな処理が付いていることがあります。配置する。組み立てる。環境に合わせる。必要なものをそろえる。そうした名目で、取り込みの途中に処理が走ります。

ここに汚れた一片が入ると、あなたはまだ本体を使っていないのに、もう動かされています。ただ取り込んだだけです。けれど、隠された処理はその場で走ります。

しかも、この広がりは速いです。

ある事件では、たった一つの配布元の鍵が奪われました。その後、二十二分のうちに、三百を超える部品へ、六百を超える汚れた版が撒かれました。

ここで効いているのは、速さだけではありません。人気のある依存ほど、広がりが大きいことです。多くの人が、同じ部品を信じています。多くの自動処理が、同じ配布元を見ています。だから、汚れた版が出ると、ほぼ同時に、多くの場所へ入ります。

一つの部品が汚れただけではありません。その部品を取り込む習慣が、まとめて使われます。

中に居るものは何でも持ち出せる

内側で、あなたの権限で動くものは、かなり多くのことができます。

まず探すのは、資格情報です。資格情報とは、外の相手に「自分はこの権限を持つ者です」と示すための材料です。鍵。パスワード。接続用の文字列。配布用の証明。保管庫を開けるための値。自動処理が外へ出るための印。

これらは、人が毎回手で入力しないように、どこかに置かれています。環境の値として置かれることがあります。設定ファイルに置かれることがあります。作業場の一時領域に残ることがあります。自動処理の記憶領域に入ることがあります。

汚れた部品は、それを順番に探します。名前の付き方には癖があります。置き場にも癖があります。多くの現場が似た置き方をします。だから、攻撃側は当てずっぽうではありません。よくある場所を、機械的に見て回れます。

見つけたら、外へ送ります。

この送り方も単純ではありません。見知らぬ場所へ通信すると、目立つことがあります。そこで、あなた自身の名義で、新しい公開の置き場を作ることがあります。そこへ盗んだものを積みます。

外から見ると、あなたが自分の権限で置き場を作り、そこへ何かを上げたように見えます。つまり、あなたの正規のふるまいに似せられます。

ここで起きていることは明快です。あなたの権限が、そのまま攻撃者の権限になります。盗まれるのは文字列だけではありません。あなたとして動ける力そのものです。

信頼の印さえ偽れる

さらに厄介なのは、信頼の印まで汚せることです。

自動化された現場では、部品を配るときに、「これは確かな身元から来たものです」と示す印を付けることがあります。来歴をたどれるようにするためです。途中で別のものにすり替えられていないことを確かめるためです。

本来、それは守りの仕組みです。

けれど、信頼された身元そのものが奪われると、話が変わります。奪われた身元で、次の汚れた版に正規の印を付けられます。すると、汚れたものが、確かな出どころの印をまといます。

このとき、「印があるから安全」という見方は崩れます。印は、あくまで、その身元から出たことを示すためのものです。その身元がすでに使われているなら、印は安全の証しではなくなります。

守るための仕組みが、攻撃のための道具に変わります。

これは、第31回で見た、戻せない手前で人を挟む話ともつながります。機械の印だけで通してよい場所と、人がいったん止めるべき場所は違います。特に、次の配布や広い展開につながる操作は、戻しにくい手前で止める必要があります。

起動そのものが住み着き先になる

エージェントの現場では、この問題はもっと直接効きます。

エージェントには、起動時の仕掛けがあります。立ち上がるたびに読む設定があります。毎回走る準備処理があります。使う道具を読み込む手順があります。接続先をそろえる手順があります。

汚れた一片がそこに住み着くと、被害は一度では終わりません。

エージェントが立ち上がるたびに、同じ一片がまた走ります。昨日も走る。今日も走る。次に再起動しても走る。取り込み時だけの問題ではなく、起動のたびに繰り返される問題になります。

起動時の仕掛けは、ふだん最も疑われにくい場所です。毎日通している入口だからです。そこに書かれている処理は、必要な準備だと思われます。だから、住み着き先として強いのです。

ここで、第26回の話に戻ります。自分の許可証を書き換えさせない芯です。起動の仕掛けも同じです。取り込んだものに、勝手に書き換えさせてはいけません。

起動時に読むもの。起動時に走るもの。道具を読み込む一覧。外へつなぐ設定。これらは、ただの便利な設定ではありません。エージェントの内側の入口です。

信頼は深く伝播する

この信頼は、あなたが直接選んだ数個では終わりません。

あなたが選んで取り込んだものが、また別のものを取り込みます。それが、また別のものを取り込みます。気づけば、自分では選んでもいない何百もの相手を、暗に信じています。

この構造では、鎖のどこか一箇所が汚れるだけで、あなたの権限に届きます。あなたは、その一つひとつを読んだわけではありません。動き方を確かめたわけでもありません。けれど、実行の場では、それらが並んで入ってきます。

さらに、奪った資格情報で次の汚れた版を撒けるなら、汚染は自分で広がります。

一つの場所で鍵を盗む。その鍵で次の部品を汚す。その部品を別の人が取り込む。そこでまた鍵を盗む。こうして、取り込みの網を伝って進みます。

これは、第35回で見た網級の伝播の依存版です。人どうしのやり取りではなく、部品の取り込みを伝います。一つの感染が、次の供給元を汚し、それを取り込んだ先をまた汚します。

だから、問題は「怪しい一つを避ける」だけでは足りません。どの深さまで信じているのか。誰がさらに何を呼ぶのか。取り込む途中で何が走るのか。そこまで見なければ、実際の入口は見えません。

取り込みの経路を守る

まとめます。

取り込んだものは、あなたの権限をそのまま受け取ります。外壁を破って入るのではありません。招かれて、内側で、あなたとして動きます。だから、守りを外壁だけに置くと、丸ごと抜けます。

守りは、取り込む経路に向けます。

何を取り込むかを最小限に絞ります。便利そうだから増やす、ではなく、本当に必要なものだけにします。取り込んだものに全権を渡しません。第26回で見たように、できる操作を内側で狭めます。

取り込みの実行は、母屋から離します。資格情報のある場所で、いきなり走らせません。起動の仕掛けを、勝手に書き換えさせません。信頼の印も過信しません。印を見るだけではなく、どの身元が、どの場面で、何を出したのかを見る必要があります。

賢いエージェントほど、多くの権限を持ちます。多くの資格情報を持ちます。多くの起動の仕掛けを持ちます。そして、便利なものを次々と内側へ招きます。

だからこそ、何を内側へ招き入れるかが、いちばん下の急所になります。

賢さを足すことと、招き入れる相手を増やすことは、同じ動きの裏表です。次回は、また別の層の急所へ降ります。