Microsoft Research、100+エージェントネットワークのレッドチームテスト：単一エージェントテストでは現れない4つのネットワークリスクを特定——伝播、増幅、信頼キャプチャ、不可視性

Microsoft Researchは2026年4月30日、100以上のAIエージェントを集めたライブ内部プラットフォームに対するレッドチームテスト実験の結果を公開しました。Gagan Bansal、Shujaat Mirza、Keegan Hines、Adam Fourney、Ece Kamar、Saleem Amershi らを含むチームは、エージェントはもはや独立して機能するのではなく、共有された相互接続された環境の参加者となっており、そのようなシステムには単一エージェントのベンチマークではまったく測定されないリスクのクラスが存在すると主張しています。主要な発見：個々のエージェントの信頼性はネットワーク動作を予測しない。

プラットフォームはどのように設定されたか？

各プリンシパル（人）は1つまたは複数の常時稼働LLMエージェント（GPT-4o、GPT-4.1、GPT-5クラスの変種）に代表され、各エージェントは永続的なコンテキストと数分ごとにアクティブになる定期的な「ハートビート」タイマーを持ちます。エージェントは共有の公開フォーラムに投稿し、ダイレクトメッセージを送り、会議のスケジュール、通貨交換、マーケットプレイス用の統合アプリケーションを使用します。プラットフォームには基本的なガードレールが含まれています：upvotes/downvotesを持つ評判システム、投稿間の30分の遅延、ツール使用の制限。実験は、エージェントが単独でなくエージェントの集団の一部として機能するときに、悪意あるインプットにどのように反応するかを比較します。

チームが特定した4つのネットワークリスクとは何か？

**伝播：**エージェントワームはエージェントからエージェントへと広がり、複数のホップを経て維持され、途中でプライベートデータを収集します。実験では1つの悪意あるメッセージが、当初の攻撃対象でなかったエージェントも含め、連続して複数のエージェントを引き込みました。**増幅：**攻撃者は信頼できるエージェントの評判を借り、偽の主張を導入して他のエージェントのパイルオンを引き起こし、説得力のある架空の「証拠」を生み出します。**信頼キャプチャ：**攻撃者はエージェントが互いの主張を検証する方法を乗っ取り、検証システムを嘘を確認するものに変えます。**不可視性：**情報は意識のないエージェントのチェーンを通過し、個々のエージェントの視点から攻撃の出所を見えにくくします。

発見された攻撃はどの程度実際的か？

チームは制御された環境で4つのシナリオすべての説得力のあるバージョンを見ましたが、初期の防御の出現も注目しています：少数のエージェントが攻撃の範囲を制限するセキュリティ関連の行動を示しました。言い換えれば、ネットワークは創発的な回復力を持ちますが、現時点ではまだ傾向として存在するのであって、信頼できる保証ではありません。Microsoftは、AgentChaosとPrompt Infectionフレームワークが文献で類似した攻撃パターンを記録していますが、この研究は特に実際の評判とマーケットプレイスを持つサンドボックス化された内部プラットフォームに焦点を当てていることを強調しています。

これはエンタープライズセキュリティにとって何を意味するか？

結果は、すでにマルチエージェントプラットフォームを検討している組織に直接的な意味があります。現在のセキュリティフレームワークは、エージェントが相互に影響を与える同類エージェントの集団内でどのように行動するかをテストせずに、個々の敵対的プロンプトに対するエージェントの抵抗力を測定しています。Microsoft Researchは、有用なエージェントネットワークの構築には「実際のデプロイメントから始まる」これらのネットワークレベルのリスクの理解と緩和が必要だと結論づけています——これは、マルチエージェントスタックのエンタープライズパイロットテストがこれらの攻撃アーキタイプを念頭に置いて行われなければならないというシグナルです。