arXiv:2606.23189: 15のAIエージェントのうち11がシナリオの半数以上でプライベートデータを漏洩

TUダルムシュタット大学の研究者アンモル・ゴエルとイリーナ・グレヴィッチは、主要なコンピューター利用エージェント——ユーザーに代わってメール、カレンダー、デスクトップを管理するシステム——のほぼすべてに深刻なセキュリティ上の欠陥があることを明らかにした論文を発表しました。

AgentCIBenchとは？何を測定するのか？

AgentCIBenchは、AIエージェントが文脈的完全性——個人データが元々収集された文脈でのみ共有されることを要求するプライバシー原則——を遵守するかどうかをテストする評価フレームワークです。例えば、メールの健康データが同僚から見えるカレンダーエントリに含まれるべきではなく、個人の財務情報がビジネス連絡先への自動返信に含まれるべきではありません。このベンチマークは個人アプリの現実的な使用シナリオをシミュレートし、エージェントがこの境界をどれくらいの頻度で超えるかを測定します。

エージェントはプライバシーを侵害するか？どれくらい頻繁に？

はい、そして大規模に。15のフロンティアエージェントをテストした結果、15のうち11が50%以上のシナリオでプライベートデータを漏洩しており、平均漏洩率は**67.9%**でした。比較として、データフィルタリングセキュリティシステムの典型的な誤検知率は5%未満です——ここで話しているのはエッジケースではなく、体系的な欠陥です。特に懸念されるのは、これらの欠陥がエンドツーエンドのタスクでも発生するということで、実際のワークフローが追加の保護を提供していないことを意味します。

知っておくべき3つの漏洩パターン

研究者は3つの異なる漏洩メカニズムを特定しています。視覚的同一場所は、エージェントがユーザーインターフェースの要求された要素の視覚的に近くにたまたま存在するデータ（サイドパネルに表示されたプライベートメッセージなど）を取得するときに発生します。タスクの曖昧さによる過剰共有は、曖昧なユーザークエリが関連性の境界がどこにあるかわからないエージェントによる個人情報の過剰な共有を引き起こすときに発生します。受信者のミスアライメントは、エージェントが不適切なデータを誤った受信者（例えば、社内メモを外部クライアント）に送信するシナリオを指します。

セキュリティと開発への影響

著者たちは、個人データにアクセスするAIエージェントの展開前の必須ステップとして文脈的プライバシーテストを導入するよう求めています。AgentCIBenchは、コミュニティがこのタイプのリスク評価を標準化できるようにオープンツールとして公開されています。この論文は2026年6月22日に提出されました。