AIエージェントが「画面を見て、クリックして、フォームを埋める」——そんな操作を人間の代わりに自動でこなす時代が、静かに実用段階へ入りつつあります。ただし多くのサービスでは、そのためにブラウザの操作履歴やログイン済みセッションがクラウドサーバーを経由します。個人の銀行口座や社内システムにアクセスするエージェントにとって、これは無視できない問題です。北京のMoonshot AIが公開した「Kimi WebBridge」は、その前提を崩すローカルファースト設計で注目を集めています。同社を取り巻く文脈を含め、整理します。
Moonshot AIは2026年5月、AIエージェントがブラウザを人間のように操作できる拡張機能「Kimi WebBridge」をリリースした。Chrome・Edgeに対応し、Chrome ウェブストアおよびKimi公式サイトから入手可能だ。
最大の特徴はローカル実行にある。同拡張機能はデバイス上のバックグラウンドサービスとChrome DevTools Protocolを介して通信する設計で、ブラウザの操作内容はユーザーのマシン外に出ない。既存のChromeまたはEdgeウィンドウ上で動作し、ログイン済みのCookieやセッション情報をそのまま利用できる。
対応ツールはKimi Code CLI、Claude Code、Cursor、Codex、Hermesで、Kimiのエコシステムに依存せず利用できる。
同拡張機能の基盤はKimiモデルファミリーだ。最新のK2.6は2026年4月にリリースされ、実世界のソフトウェアエンジニアリング能力を測るベンチマーク「SWE-Bench Pro」でMoonshot発表によれば58.6%を記録した。これはGPT-5.4の57.7%、Claude Opus 4.6の53.4%を上回る(いずれもMoonshot発表値。測定条件により各社スコアは異なる)。前世代のKimi K2は2025年7月にパラメータ数1兆のオープンソースMixture-of-Expertsモデルとして登場し、LMSYSアリーナリーダーボードでオープンソースモデル1位・総合5位を記録していた。
Kimiが広く注目されるきっかけとなったのは2026年3月のCursorスキャンダルだ。企業評価額293億ドル(当時)のコーディングAIスタートアップCursorが「Composer 2」を「独自開発のフロンティアモデル」として発表したところ、24時間以内に開発者がAPIトラフィックを解析してKimi K2.5ベースであることを特定した。CursorのVPは数時間以内にオープンソース基盤の使用を認め、共同創業者のアマン・サンガーも「最初から問題だった」と不開示を認めた。
ブラウザエージェント領域にはAnthropicのComputer Use、OpenAIのOperatorおよびChatGPT Atlas、GoogleのDeepMind主導エージェント、PerplexityのComet Browserが存在する。多くがクラウド経由の処理を伴うのに対し、Kimi WebBridgeは現時点でローカルファーストの設計を維持している。
From: 
Kimi WebBridge Lets AI Agents Drive Your Browser—And Keep Your Data Local
【編集部解説】
ブラウザという「最も機密な領域」をエージェントに渡す意味
AIエージェントの実用化が進む中で、ブラウザは特殊な位置にあります。私たちが日常的にログインしているのは、銀行口座、医療記録、社内のCRMやSlack、メール、給与システム——デジタル生活で最も機密性の高い領域の入口です。
そこに「人間の代わりに操作するAI」を入れるとなれば、設計上の問いはひとつではありません。エージェントが何を見られるのか。判断のためにどの情報が外部に送られるのか。誰のサーバーを経由するのか。Moonshot AIのKimi WebBridgeは、この問いに対するひとつの回答として「ローカルファースト」を打ち出しました。ただし、この設計思想を正確に評価するには、競合各社の実装も合わせて整理する必要があります。
「クラウド型 vs ローカル型」は実は雑な二項対立
元記事は、WebBridgeを「ローカル」、Anthropic Computer Use、OpenAI Operator/Atlas、Perplexity Cometを「クラウド」と単純化して対比しています。しかし各社の設計を実際に追うと、構図はもっと複雑です。
OpenAIのChatGPT Atlasは、独自のChromiumベースのデスクトップ専用ブラウザとして配布されており、推論はOpenAIのサーバーに依存するものの、Chromiumエンジン自体はユーザーのマシン上で動作します。OpenAIはこの設計を「OWL(OpenAI’s Web Layer)」と呼び、Chromiumブラウザプロセスを主アプリの外側のサービスレイヤーで動かす構造を取っています。
AnthropicのComputer Use(API版)はさらに踏み込んでいます。公式ドキュメントには「Computer useはクライアントサイドのツール」「セッション中のスクリーンショット、マウス操作、キーボード入力、ファイルはユーザーの環境に保存され、Anthropicには保存されない」と明記されており、ZDR(Zero Data Retention)対応も可能です。2026年1月にリリースされた消費者向け製品Claude Coworkは、AppleのVirtualization Framework上のVMサンドボックス内でエージェントを実行し、Webアクセスが必要な場合はホストマシンのChromeをModel Context Protocol(MCP)経由で呼び出す設計です。
つまり、ブラウザエージェント領域で進んでいるのは「すべてをクラウドで処理する陣営」と「ローカルで処理する陣営」の対立ではなく、「推論はクラウド、実行はローカル寄りに」という共通の方向性のなかで、どこに信頼境界を引くかの設計バリエーションです。
WebBridgeの本当の独自性──既存ブラウザ拡張+エージェント非依存
この構図を踏まえると、WebBridgeの差別化要素は二つに整理されます。
ひとつめは、既存のChromeまたはEdgeに拡張機能として乗るという設計です。AtlasやCometが「ユーザーに新しい専用ブラウザに乗り換えさせる」アプローチを取るのに対し、WebBridgeはユーザーが日常的に使っているブラウザ環境にエージェントの「手」だけを追加します。Cookieやログインセッション、ブックマーク、拡張機能などのデジタル環境を分断しない構造です。
ふたつめは、エージェント非依存(agent-agnostic)であることです。WebBridgeはKimi Code CLI、Claude Code、Cursor、Codex、Hermesと組み合わせて利用でき、Kimiモデル以外のAIアシスタントを推論エンジンとして接続できます。これは技術的には、「ブラウザ操作層」と「推論モデル層」を分離するという設計選択です。AtlasがChatGPT専属、CoworkがClaude専属である構造とは対照的に、WebBridgeはエージェント選択の自由度を残しています。
通信プロトコルにChrome DevTools Protocolを採用している点も注目に値します。CDPは開発者がブラウザのデバッグに使う公開プロトコルで、エージェントとブラウザの間のやり取りを技術的に検証可能な層に置いていることになります。
「ローカルファースト」は何を解決するのか。
ここで一度立ち止まる必要があります。Moonshotの公式説明とDecryptの記述によると、WebBridgeでは「Moonshotがページの内容を見ることはない」とされています。ただしWebBridgeを駆動するKimi K2.6モデル自体はクラウドサービスとして提供されており、エージェントが判断に使うコンテキスト(タスクに関連するスクリーンショットやテキスト等)の扱いについて、公開情報からは完全には特定できません。
つまり「ローカルファースト」が意味するのは、おそらくブラウザの全セッション情報・Cookie・閲覧履歴をMoonshotサーバーに送り続ける構造ではないということであり、これはセキュリティ・プライバシー上の重要な差にはなりますが、「すべてが端末内で完結する」という意味ではありません。
そして、ローカルファースト設計が解決しないリスクも明示しておく必要があります。プロンプトインジェクション──悪意のあるWebページに埋め込まれた指示文がエージェントを誤誘導する攻撃──は、データの送信経路に関わらず存在します。むしろローカル環境のほうが、ユーザーのログイン済みセッションを直接操作できる分、攻撃が成功したときの影響範囲は広くなり得ます。Anthropicが自社のCowork発表時に「プロンプトインジェクションは最大のリスク」と異例の警告を出したのも、この構造を反映しています。
ローカルファーストは「サーバーへのデータ集中を避ける」設計選択であり、エージェントの安全性そのものを保証する設計ではない。両者を混同しないことが、これからのエージェント評価には欠かせません。
その下層で進む別の構造変化──オープンソースモデルとエージェント市場
ここまでは設計の話ですが、WebBridgeをめぐる文脈にはもうひとつの軸があります。
WebBridgeを駆動するKimiモデルファミリーはオープンソースです。2026年3月のCursor騒動で露呈したのは、企業評価額293億ドル(当時)の米国コーディングAIスタートアップが「独自フロンティアモデル」として発表したComposer 2の基盤が、実はオープンソースのKimi K2.5だったという事実でした。Moonshotの事前学習責任者によるトークナイザー分析で完全一致が確認され、Cursor側もオープンソース基盤の使用を認めています。
この事象は、AI開発のバリューチェーンが変化していることを示唆します。モデルそのものの差別化価値は薄れつつあり、価値は継続学習・強化学習・パイプライン設計・UX側に移っている可能性があります。Cursor副社長のリー・ロビンソンは「計算リソースの約75%はCursor独自のトレーニングパイプラインに費やされた」と説明しましたが、これは逆に言えば、ベースモデルへの依存が無視できない規模であることの認知でもあります。
Moonshot AIは2026年に入って、Meituan(美団)が主導する20億ドルの資金調達ラウンドでほぼ200億ドルの評価額を得ており、これは2025年末の評価額から約5倍にあたります。同社の年間経常収益(ARR)も2億ドルを突破したと報じられています。WebBridgeをエージェント非依存の設計にしたのは、Kimiモデルを推論基盤としてエージェント市場の下層に広げる戦略の一部とも読めます。
私たち日本の読者にとって、この構図は注意深く眺める価値があります。「中国発のAIプロダクト」というラベルだけで判断すれば見えてこない構造──オープンソースモデルが米国の最先端AIスタートアップを下支えしているという逆説、そしてそれがブラウザエージェントの設計選択にまで波及している事実──が、ここにはあります。
ブラウザエージェントを選ぶときの判断軸は、「クラウドかローカルか」という単純な二項では足りません。推論データはどこを流れるか、実行環境はどこにあるか、推論モデルは差し替え可能か、モデルのライセンスは何か、プロンプトインジェクション対策はどう設計されているか──こうした複数の独立した軸を持って初めて、自分の用途に合った選択ができるようになります。WebBridgeは、その判断軸を可視化する役割を果たしているとも言えます。
【用語解説】
Chrome DevTools Protocol(CDP)
Google が策定したブラウザデバッグ用の通信プロトコル。ブラウザの内部状態(DOM構造、ネットワーク通信、JavaScript実行状態など)にプログラムからアクセスするための低レイヤーの通信インターフェース。本来は開発者向けのデバッグツールだが、WebBridgeはこれをエージェントとブラウザの橋渡しに転用している。
Mixture-of-Experts(MoE)
AIモデルのアーキテクチャ手法。大量の「エキスパート」と呼ばれるサブネットワークを持ちながら、各推論時には入力に応じた一部のエキスパートのみを選択的に活性化する設計。総パラメータ数が大きくても実際の計算コストを抑えられるため、Kimi K2(1兆パラメータ)のような超大規模モデルでも効率的な推論が可能になる。
SWE-Bench Pro
Scale AI が開発した、AIコーディングエージェントの実力を測るベンチマーク。実際のGitHubリポジトリから抽出した1,865件のタスクで構成され、AIがコードのバグ修正や機能追加を自律的にこなせるかを評価する。汚染耐性(学習データへの混入を防ぐ設計)を重視しており、スコアのインフレが起きにくいとされる。なお、各モデルのスコアはテスト時のエージェント構成(スキャフォールディング)により異なり、Kimi K2.6の58.6%はMoonshot発表値(Scale AI公式パブリックリーダーボードへの正式登録は未確認)。
プロンプトインジェクション
悪意のある指示文をWebページや入力テキストに埋め込み、AIエージェントに意図しない操作を実行させる攻撃手法。エージェントが「閲覧したページの内容」を自分への指示として誤解する形で誘導される。データの送信経路がローカルであっても防ぐことはできず、エージェントが操作する環境の権限が大きいほど被害も大きくなりうる。
Zero Data Retention(ZDR)
APIを通じて送受信されるデータをサービス提供者のサーバーに保存しないことを保証するポリシー。Anthropicが企業向けAPIで提供するオプション。医療・金融・法務など機密データを扱う組織がAIを導入する際の要件として重視される。
Model Context Protocol(MCP)
Anthropicが策定したオープン標準プロトコル。AIアシスタントが外部ツール・データソース・アプリケーションと連携するための共通インターフェースを定義する。Claude CoworkではVM内のClaudeがホストマシン上のChromeをMCP経由で操作する設計に使われており、AI–外部環境の接続を標準化する試みとして注目されている。
LMSYSアリーナ(Arena)
カリフォルニア大学バークレー校のLMSYSチームが開発し、現在はArena(旧LMSYS Chatbot Arena、arena.ai)として運営されるLLM評価プラットフォーム。2つのAIモデルが同じ質問に匿名で回答し、ユーザーが優れた方を選ぶ方式(Eloレーティング)で、600万件超の人間の選好データに基づくランキングを公開している。ベンチマーク数値ではなく実ユーザーの主観評価を反映する点が特徴。
【参考リンク】
Kimi WebBridge 公式セットアップページ(外部)
WebBridgeのインストール手順、接続コマンド、Kimi Claw Desktopの設定方法を一通り案内する公式ページ。Macダウンロードリンク・Windows用PowerShellコマンドも掲載。
Kimi WebBridge ヘルプセンター(外部)
接続エラーの対処法、対応エージェントへの接続コマンド、プラン要件(Allegretto以上)などトラブルシューティングの公式情報。
Kimi モデルリポジトリ(GitHub)(外部)
Moonshot AIのGitHubオーガニゼーション。Kimi K2などオープンソースモデルのコードや論文リポジトリが公開されている。モデルの実装を直接確認したい開発者向け。
Chrome DevTools Protocol 公式ドキュメント(外部)
GoogleによるCDP仕様の公式リファレンス。WebBridgeが内部で使うプロトコルの詳細を確認できる。エージェントとブラウザの通信仕組みを技術的に理解したい読者向け。
SWE-Bench Pro 公式リーダーボード(Scale AI)(外部)
Scale AIが運営するSWE-Bench Proの公式リーダーボード。各モデルの最新スコアと比較可能。なお、Kimi K2.6(58.6%)はMoonshot発表値であり、Scale AI公式パブリックリーダーボードへの正式登録は記事公開時点で未確認。
Arena リーダーボード(外部)
旧LMSYS Chatbot Arena。実ユーザーの選好投票に基づくLLMランキング。Kimi K2がオープンソース1位・総合5位を記録した評価プラットフォーム。現在のランキングも確認可能。
Anthropic Computer Use ドキュメント(外部)
AnthropicによるComputer Use APIの公式ガイド。クライアントサイド設計、ZDR対応、セキュリティ上の注意点が詳述されている。記事で触れた「ローカルファーストの設計比較」を深く調べたい開発者向け。
Claude Cowork 製品ページ(外部)
Anthropicの消費者向けエージェント製品。記事で言及したVMサンドボックス設計・MCP経由のChrome操作の公式情報を確認できる。WebBridgeとの設計思想の比較に有用。
【参考動画】
Kimi WebBridge: The Local AI Agent That Keeps Your Data Private(英語、約5分)
WebBridgeのローカル実行の仕組みと、クラウド型エージェントとの違いをデモを交えて解説するレビュー動画。
【参考記事】
Kimi WebBridge Turns Open Source AI Into A Local Browser Operator(Open Source For You / 2026年5月)
WebBridgeをオープンソースAIインフラとしての文脈で位置付けた解説記事。「agent-agnostic browser automation layer」という整理が参考になった。
Building ChatGPT Atlas(OpenAI公式ブログ / 2026年)
OpenAIによるAtlasのアーキテクチャ解説。OWL(OpenAI’s Web Layer)設計の詳細、ChromiumをアプリのサービスレイヤーとしてDockerライクに管理する構造を確認した。
The Architecture Behind Atlas: OpenAI’s Web Agent(ByteByteGo / 2026年)
OWLアーキテクチャの技術解説。Computer UseモデルとChromiumブラウザエンジンの統合方式、セーフガードの実装を詳述。「クラウド型」とされるAtlasのローカル側実装を理解するのに不可欠だった。
Computer Use Tool – Anthropic Documentation(Anthropic公式 / 随時更新)
AnthropicのComputer UseがクライアントサイドのツールであることとZDR対応を明記した公式ドキュメント。「クラウド型」という分類の再評価の根拠として参照した。
Moonshot AI’s Kimi WebBridge: Lets Your AI Agent Browse the Web(FrontierNews.ai / 2026年5月)
Meituan主導の資金調達(評価額約200億ドル、調達額20億ドル)とARR2億ドル突破を報じた記事。Moonshot AIの事業規模を示す数値の出典。
Anthropic Launches Cowork, a Claude Desktop Agent That Works in Your Files(VentureBeat / 2026年1月)
Coworkのリリース報道。Anthropicが「プロンプトインジェクションが最大のリスク」と警告を出したという事実の出典。ローカルエージェントのセキュリティリスクを論じる文脈で参照した。
【編集部後記】
AIエージェントに自分のブラウザを任せる——かつてなら「ありえない」と思われていたはずのその行為が、今は実用的な選択肢として目の前に置かれています。ローカルファースト設計はひとつの誠実な回答ですが、プロンプトインジェクションのリスクが示すように、信頼の問題はデータの流れ先だけでは整理できません。私たちが「安全なエージェント」を選ぼうとするとき、その判断軸をどこに置くか——それはまだ、社会として合意できていない問いではないでしょうか。
