2026年5月19〜20日に開催された「Google I/O 2026」で、Googleは「Gemini Spark」と「Managed Agent API」を立て続けに発表した。どちらにも共通するのは、AIエージェントを“チャット画面の中の存在”から“クラウド上で動き続けるプロセス”へと押し上げる仕掛けだという点だ。便利さの裏側で、セキュリティの前提も静かに書き換わりつつある。
「電源を切っても動く」エージェント #
Gemini Sparkは、Google Cloud上の仮想マシンで24時間稼働し続けるパーソナルAIエージェントだ。スマホやPCの電源が落ちていても、Gmailの監視や旅程づくり、領収書の記録といった複数ステップの作業をクラウド側で自律的に進める。一方のManaged Agent APIは、APIコール一発でGoogleがホストするLinux環境付きのエージェントを起動できる。指示やスキルはMarkdownで記述し、サンドボックス内でコード実行・ファイル操作・Webブラウジングまでこなす。チャットボットというより「常駐サーバ」に近い。
攻撃面はエージェント本体へ引っ越す #
ハッカー視点で見ると、ここで起きているのは「攻撃対象の引っ越し」だ。エージェントは常時起動のサーバとなり、Gmailやカレンダー、決済情報へのアクセス権と認証情報を抱え込む。つまりプロンプトインジェクション一発が、単なる誤回答ではなくクラウド上での実コード実行や情報持ち出しに直結しうる。先日のGitHub従業員端末の侵害(不正なVS Code拡張機能経由でトークンが流出した一件)は、開発支援ツールが資格情報の宝庫であることを示した。常駐型エージェントは、その宝庫がクラウド側に24時間置かれることを意味する。
「確認を求める」設計はどこまで効くか #
GoogleはGemini Sparkに「重要な操作の前にユーザー確認を挟む」設計を入れたという。だが承認の形骸化、いわゆる“確認疲れ”は古典的な弱点であり、自律エージェントでは何が「重要」かの線引きそのものが曖昧だ。エージェントに渡す権限は最小限に、認証情報はトークンの分離と短命化を前提に——常駐エージェントが当たり前になる前に、運用側の備えこそが問われている。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。