arXiv:2605.04785: AgentTrustがAIエージェントのツール呼び出しを95〜97%の精度で傍受

arXivで公開された新しい論文は、AIエージェントとそのツールの間に置かれ、実行前に各呼び出しをリアルタイムで評価するランタイムセキュリティレイヤー「AgentTrust」を紹介しています。このシステムは、エージェントがオペレーティングシステムや外部サービスへの広範なアクセスを得た場合に生じる脆弱性を標的としています。

AgentTrustは何を許可するか、どのように決定しますか？

各受信ツール呼び出しに対して、AgentTrustは許可、警告、ブロック、レビューの4つの判定の1つを返します。アーキテクチャはシェル難読化解除ノーマライザー、より安全な代替案を提案するSafeFixコンポーネント、多段階攻撃チェーンを検出するRiskChainディテクター、疑わしい入力向けのキャッシュ対応LLMアズジャッジレイヤーを組み合わせています。対応するツールにはファイル操作、SQLクエリ、シェルコマンドが含まれ、これらは本番エージェントシステムにおける最も一般的な攻撃面の3つです。

システムの精度はどれくらいですか？

評価は合計930のシナリオで実施されました。6つのリスクカテゴリにわたる300の内部シナリオと、実世界からの630の独立して構築されたアドバーサリアルシナリオです。本番ルールセットは内部ベンチマークで95.0%の判定精度、73.7%のリスクグレード精度を達成し、レイテンシは数ミリ秒の範囲です。630シナリオのセットでAgentTrustは96.7%の精度に達しており、単純なフィルターを通常回避するシェル難読化ペイロードでは約93%の精度を示しました。

オープンソース提供は何を意味しますか？

著者（Chenglin Yang）はAgentTrustをAGPL-3.0ライセンスで公開しており、派生作品に同じオープンソース共有を義務付けています。システムはMCPサーバー（Model Context Protocol——LLMから外部ツールを呼び出すためのオープン標準）として提供されるため、エージェントコードを変更することなくMCPをサポートするあらゆるエージェントに接続できます。これにより、既存のエージェントワークフローにランタイム制御を導入するための敷居が下がります。