MITが公開した指標で判明したAIエージェントの安全性欠如に警鐘を鳴らす

🎧 音声で聴く：ジョンとリラが本記事をもとに、現場視点と戦略視点から独自の見解をディスカッションしています。記事では詳細なデータと参照リンクをまとめています。

導入

MIT CSAILが2025年版「AI Agent Index」を公開した。対象は30のAIエージェント。安全性評価を開示しているのは、自律性の高い13エージェントのうちわずか4つにとどまる。

AIエージェントの普及が急速に進む一方で、その振る舞いに関するルールも安全基準の開示も追いついていない。MIT（マサチューセッツ工科大学）のコンピュータサイエンス・人工知能研究所（CSAIL）が発表した調査報告は、この不透明な状況を数値で裏付けている。

本記事では、この調査の内容を精査し、AIエージェントの安全性と透明性がなぜ今問題になっているのかを掘り下げる。

背景と課題

──ルールなき自律システムが市場に出回り始めた現状。

AIエージェントとは、チャットアプリ、ブラウザ操作、企業ワークフローなどを通じて、ソフトウェアサービスにアクセスし自律的にアクションを実行する機械学習モデルを指す。MIT CSAILの報告書によれば、その形態は多岐にわたる。チャット型としてはManus AI、ChatGPT Agent、Claude Codeが挙げられ、ブラウザ型にはPerplexity Comet、ChatGPT Atlas、ByteDance Agent TARSが含まれる。エンタープライズ向けにはMicrosoft Copilot StudioやServiceNow Agentが存在する。

報告書は、AIエージェントへの関心と投資が拡大しているにもかかわらず、「実世界での開発・デプロイの重要な側面が不透明なままであり、研究者や政策立案者に公開される情報がほとんどない」と指摘している。

クリックで拡大表示

さらに、オープンソースのエージェントプラットフォームOpenClawやそのエージェント間相互作用ネットワークMoltbookへの熱狂、AI生成コードがオープンソースプロジェクトに提出されることへの不満が、行動規範なしにエージェントを解き放つことの結果を浮き彫りにしているという。

AIエージェントがロボット排除プロトコル（robots.txtファイルによるスクレイピング拒否の意思表示）を無視する傾向があることも報告書は取り上げている。既存のウェブプロトコルではエージェントの行動を制御できなくなりつつあるという認識だ。

技術・内容解説

──30エージェントを6カテゴリ・45項目で評価した結果が示すもの。

2025年版AI Agent Indexでは30のAIエージェントを分析対象としている。2024年版の67エージェントと比較すると対象数は絞られたが、分析の深度が増している。評価カテゴリは「法的側面」「技術的能力」「自律性と制御」「エコシステムとの相互作用」「評価手法」「安全性」の6つ。各エージェントに対して45の注釈フィールドが設けられている。

調査対象のうち24エージェントは2024年から2025年の期間にリリースまたは大幅なアップデートを受けている。だが開発者が語る内容は製品機能が中心であり、安全性に関する実践はほとんど語られていない。

最も注目すべき数値がここにある。自律性がフロンティアレベルに達した13エージェントのうち、エージェント固有の安全性評価を開示しているのはChatGPT Agent、OpenAI Codex、Claude Code、Gemini 2.5 Computer Useの4つだけだ。30エージェント中25の開発者が安全性テストの詳細を公開しておらず、23は第三者テストのデータを一切提供していない。

さらに、ほとんどのエージェントがAnthropic、Google、OpenAIが提供する少数の基盤モデルに依存しており、その上にスキャフォールディングやオーケストレーション層を構築した「ハーネス」や「ラッパー」に過ぎないという構造的な問題もある。依存関係が多層化しているため、問題発生時にどの主体が責任を負うのかが不明確になると研究者らは指摘している。

法人所在地と安全枠組みの偏り

評価対象の30エージェントのうち、13はデラウェア州に法人登記された企業が開発している。中国法人の組織が5つ、それ以外が4つ（ドイツのSAPとn8n、ノルウェーのOpera、ケイマン諸島のManus）。

中国法人5社のうち、安全性フレームワークを公開しているのは1社、コンプライアンス基準を持つのも1社にとどまる。中国以外のエージェントでは15がAnthropicのResponsible Scaling Policy、OpenAIのPreparedness Framework、MicrosoftのResponsible AI Standardなどの安全性フレームワークに言及している。残る10には安全性フレームワークの文書が存在しない。エンタープライズ向けの保証基準については、コンプライアンス基準の文書がないエージェントは30のうち5つだった。

オープンソースの状況も偏りがある。23エージェントがクローズドソースであり、エージェントフレームワークやハーネスをオープンソース化しているのは7つ──Alibaba MobileAgent、Browser Use、ByteDance Agent TARS、Google Gemini CLI、n8n Agents、OpenAI Codex、WRITERだ。

よくある誤解

用語解説

AIエージェント

ソフトウェアサービスにアクセスし、ユーザーの指示に基づいて（あるいは自律的に）オンライン上で行動を実行できる機械学習モデル。チャット、ブラウザ操作、業務ワークフロー自動化など多様な形態をとる。

ロボット排除プロトコル（robots.txt）

ウェブサイト管理者がクローラーやボットに対して、特定ページのスクレイピングを拒否する意思を表示するための標準的な仕組み。法的拘束力はなく、従うかどうかはアクセス側の実装に依存する。

基盤モデル

大量のデータで事前学習された大規模な機械学習モデル。多くのAIエージェントがAnthropic、Google、OpenAIなどが提供する基盤モデルの上にスキャフォールディング（支援構造）を構築して動作している。

スキャフォールディング・オーケストレーション層

基盤モデルの上に構築される制御・連携のための技術層。ツール呼び出し、メモリ管理、タスク分割などの機能を担い、エージェントの「振る舞い」を形成する。

Responsible Scaling Policy

Anthropicが策定した、AIモデルの能力レベルに応じて安全対策を段階的に強化する方針。同様にOpenAIはPreparedness Framework、MicrosoftはResponsible AI Standardをそれぞれ公開している。

インパクト・活用事例

──経済効果の見積もりと、現実の乖離。

コンサルティング企業McKinseyによれば、AIエージェントは2030年までに米国経済に2.9兆ドルの価値を追加する可能性があるとされている。ただし、この数字には大きな前提条件がつく。OpenAIをはじめとするテック企業による巨額の設備投資が期待通りのリターンを生むかどうかは不透明だ。元記事は、企業がAI投資から十分なリターンをまだ得られていない現状にも言及している。

さらに、研究者らが昨年実施した調査では、AIエージェントが複数ステップのオフィスタスクを完了できた割合は約3分の1にとどまったという結果も報告されている。AIモデルはその後改善が進んでいるとはいえ、McKinseyの推計額と現場の実力の間には相当な距離がある。

Anthropicも同時期にAIエージェントの自律性に関する独自分析を公開した。同社は「AIエージェントはすでにここにあり、メールの振り分けからサイバー諜報活動まで、結果の重大性が大きく異なる文脈に配備されている」と述べ、「このスペクトラムの理解はAIの安全な配備に不可欠だが、人々が実際にエージェントをどう使っているかについて驚くほど知見が少ない」と認めている。

個人的には、McKinseyの2.9兆ドルという数字よりも、「マルチステップタスクの完了率が約3分の1」という実測値のほうが影響が大きいと見ている。投資判断に使われるのは将来予測だが、現場のエンジニアが直面するのは今日のエージェントの実力だからだ。

日本の文脈で考えると、エンタープライズ向けエージェント（Microsoft Copilot StudioやServiceNow Agentなど）の導入が先行するのは国内のSIer案件でも同様だろう。だが安全性評価が不透明なまま業務プロセスに組み込まれるリスクは、日本企業の意思決定構造──多層的な承認プロセスと「誰が責任を負うのか」の曖昧さ──と組み合わさることで、問題がより深刻化する可能性がある。

アクションガイド

──立場ごとに、今何をすべきか。

エンジニア・技術者向け

• 自社で利用しているAIエージェントがMIT CSAILのインデックスに含まれているか確認し、45の注釈フィールドを参照して安全性情報の開示状況を把握する
• エージェントが依存している基盤モデル（Anthropic、Google、OpenAIなど）の安全性フレームワークを確認し、エージェント層の安全評価との整合性を検証する
• robots.txtだけに頼ったスクレイピング対策を見直し、エージェントからのアクセスに対する追加的な防御策を検討する

ビジネス意思決定者向け

• エージェント導入時に「安全性評価の開示有無」を選定基準に加える。30エージェント中25が安全性テストの詳細を公開していない現状を認識する
• ベンダーに対して、第三者テストデータの提供を求める。23エージェントが第三者テストデータを提供していない事実は、調達における交渉材料になる
• 依存関係の多層構造による責任の曖昧さを、契約段階で明確にする

政策立案者・研究者向け

• MIT CSAILのAI Agent Indexを評価枠組みの参照元として活用する
• 法人所在地による安全性開示の偏りを規制検討の材料とする

保存用チェックリスト

未来展望とリスク

──標準化の不在が続く先にあるもの。

MIT CSAILの報告書が明示したのは、少数の基盤モデル提供者にエコシステムが集中している構造と、安全性情報の開示が著しく不足している現状だ。この2つが同時に存在する限り、エージェントの問題行動が発生した際に原因の特定と責任の追及が困難になる状況は続く。

正直なところ、安全性開示の標準化は技術的な問題というより政治的・商業的な問題だ。基盤モデル提供者は3社に集中しており、エージェント開発者の多くはそのラッパーに過ぎない。標準策定において誰がイニシアティブをとるかによって、ルールの内容は大きく変わる。デラウェア法人が13エージェント、中国法人が5エージェントという地理的分布を見ても、国際的な合意形成は容易ではないだろう。

robots.txtの無視というのは象徴的な事例だが、より根本的な問題は「ウェブ上の暗黙の契約」がエージェントには通用しないということだ。蛇口を閉めるために設計された部品が、水圧の変化によって機能しなくなるのに似ている。新しい制御メカニズムの設計が求められているが、業界全体での合意には時間がかかる。

まとめ

MIT CSAILの2025年版AI Agent Indexは、30のAIエージェントを6カテゴリ・45項目で評価し、安全性開示の深刻な不足を定量的に示した。自律性の高い13エージェントのうち安全性評価を開示しているのは4つだけ。25のエージェントが安全性テスト詳細を非公開、23が第三者テストデータなし。

少数の基盤モデル提供者への依存、法人所在地による安全枠組みの偏り、ロボット排除プロトコルの形骸化──これらはいずれも構造的な問題であり、個別のエージェント開発者だけでは解決できない。

この報告書の論文著者はLeon Staufer（ケンブリッジ大学）、Kevin Feng（ワシントン大学）、Kevin Wei（ハーバードロースクール）、Luke Bailey（スタンフォード大学）、Yawen Duan（Concordia AI）、Mick Yang（ペンシルベニア大学）、A. Pinar Ozisik（MIT）、Stephen Casper（MIT）、Noam Kolt（ヘブライ大学エルサレム）。複数の大学・研究機関にまたがる共同研究である点が、この問題の射程の広さを物語っている。

エージェントの能力は今後も向上する。だが安全性の透明性がそれに追いつかなければ、技術の恩恵よりもリスクが先に顕在化するのは時間の問題だ。

参照リンク・情報源

• AI agents abound, unbound by rules or safety disclosures（The Register）