LangChainとCisco AI Defense：ミドルウェアによるプロンプトインジェクション攻撃からエージェントを保護

2026年4月16日、Cisco AI DefenseとLangChainは、LangChainプラットフォーム上に構築されたエージェントシステムにランタイム保護を提供する共同統合を発表しました。記事の著者はCisco AI DefenseのシニアプロダクトマネージャーのSiddhant Dashで、タイトル**「開発者の最初の10分間」**は既存のプロジェクトへの保護導入の容易さに重点を置いていることを示唆しています。

なぜミドルウェアが分散チェックより優れているのか

本番エージェントアプリケーションの典型的な問題は、セキュリティチェックをどこに挿入するかです。各開発者がLLM呼び出し、ツール呼び出し、エージェントループの周りに独自のフィルターを追加すると、セキュリティポリシーが一貫性を欠き、監査が困難になります。

CiscoとLangChainはミドルウェアアプローチを選択しました——アプリケーションとエージェントフレームワークの間に一つのセキュリティ層を設ける方法です。これにより開発者はクリーンなアプリケーションコードを書き、セキュリティポリシーはエージェントループ全体を通じて一か所、単一のポイントで適用されます。

三つの保護モード

統合はエージェントが外部世界と持つ三つの異なるタイプの相互作用をカバーします：

LLMモードは基盤モデルへの直接呼び出しを保護します。エージェントがインジェクション試みや機密データを含むプロンプトを送信した場合、その呼び出しは遮断されます。

MCPモードはModel Context Protocolを通じてツールやデータソースへの呼び出しを保護します。MCPツールはファイル、データベース、外部APIへの実際のアクセス権を持つため、これが最も脆弱なポイントであり、Ciscoはここに明示的な壁を設けます。

ミドルウェアモードはLangChain実行フロー自体——エージェント間の計画、ルーティング、オーケストレーション——をカバーします。これはオーケストレータがリアルタイムでどのエージェントが動くかどのツールを使うかを決定するマルチエージェントアーキテクチャにとって重要です。

モニタリングvsエンフォース

統合は開発のさまざまな段階をカバーする二つの操作モードを提供します：

モニタリングモードはエージェントを中断することなくリスクシグナルと意思決定トレースを記録します。開発者が本番で有効にする前にポリシーが何をブロックするか確認したい開発環境やステージング環境に最適です。

エンフォースモードは積極的に違反をブロックします。プロンプトインジェクションや他のセキュリティイベントが検出されると、エージェントが停止し、アプリケーションには調査のためのリクエストIDと共に監査理由が返されます。すべてが後の分析のためにログに書き込まれます。

開発者ランチパッドと第一印象

Ciscoはdev.aidefense.cisco.com/demo-runnerページを立ち上げ、事前に準備されたシナリオ——安全なプロンプト、インジェクション試み、機密データ要求——でモニタリングとエンフォースモードを並べてテストできるようにしています。

エージェント保護の作業は、アドホックなフィルターから成熟したエンタープライズカテゴリへとゆっくりと移行しています。従来のネットワーク企業であるCiscoが直接AIセキュリティ層に参入することは、エージェントセキュリティがアプリケーションの懸念ではなくインフラストラクチャの懸念として扱われることを示しています。