ケンブリッジ大学レバヒューム知能未来センターのレオン・シュタウファーが率いる国際研究チームは2026年2月20日、AIエージェント30種の安全性情報開示を体系的に評価した「AI Agent Index」2025年版を公開した。
調査の結果、エージェント固有のシステムカードを公開しているのは30種中わずか4種にとどまり、25種が内部安全性テストの結果を開示せず、23種が第三者評価データを提供していないことが判明した。とりわけブラウザーエージェントは安全性関連フィールドの64%が未報告であり、人間のブラウジング行動を模倣してボット対策を回避する実態も確認された。
研究者らは、基盤モデルの安全性評価だけではエージェント固有のリスクをカバーできないと指摘し、開発者に対しエージェントレベルの透明性確保を求めている。
From: 
Most AI bots lack basic safety disclosures, study finds
【編集部解説】
この研究が示しているのは、AIの「できること」と「安全であること」の間に、深刻な情報格差が存在するという事実です。
AI Agent Indexは、MIT CSAILのサイト上で公開されているプロジェクトで、2024年版(67種のエージェントを対象)に続く2回目の更新にあたります。2025年版は対象を30種に絞った代わりに、法務、技術的能力、自律性と制御、エコシステムとの相互作用、評価、安全性という6カテゴリー・45項目にわたる詳細な分析を行っています。The Registerの報道によれば、対象30種のうちチャット型が12種、ブラウザー型が5種、エンタープライズ型が13種で構成されています。
本研究で特に注目すべきは、「システムカード」の概念です。これは、AIエージェントがどの程度の自律性を持ち、どのような振る舞いをし、どのようなリスクがあるかを正式に文書化したものです。従来、AI安全性の議論は基盤モデル(LLM)のレベルで行われてきましたが、実際のAIエージェントは基盤モデルの上に計画機能、ツール連携、メモリー、ポリシーといった独自のレイヤーを積み重ねて構築されています。つまり、基盤モデルが安全であっても、その上に構築されたエージェントの振る舞いまで安全とは限りません。研究者はこの点を「安全性の空白地帯」として強く警告しています。
もう一つの重要な発見は、基盤モデルへの依存の集中です。中国製を除くほぼすべてのエージェントがGPT、Claude、Geminiという少数の基盤モデルに依存しています。The Registerは、多くのエージェントがAnthropicやGoogle、OpenAIのモデルの「ハーネスやラッパー」にすぎないと指摘しました。これは効率性の面ではメリットがある一方、ある基盤モデルに障害や安全性の後退が生じた場合、連鎖的に数百のエージェントに影響が及ぶリスクを意味します。
興味深いのは、この研究の公開に先立つ2026年2月18日にAnthropicが公開した自社の研究報告との対比です。Anthropicは自社の公開APIとClaude Codeにおける数百万件のインタラクションを分析し、実世界でのAIエージェントの自律性がどう変化しているかを調べました。それによると、2025年10月から2026年1月にかけて、上位0.1%のセッションにおけるエージェントの自律実行時間がほぼ倍増し、約45分に達しています。一方で、現在の全APIアクションの80%には許可制限や人間の承認といった保護措置が適用されており、不可逆的なアクションは0.8%にとどまるとしています。つまり、エージェントの自律性は現実に拡大しているものの、その拡大を管理する透明性の仕組みが追いついていないという、AI Agent Indexの指摘と同じ構図が浮かび上がります。
規制の観点では、2026年8月2日にEU AI Actの主要規定が全面適用となる予定です。同法第50条に基づく透明性義務では、AIチャットボットがAIであることの開示、合成コンテンツのラベリング、ディープフェイクの識別が求められます。しかし、今回の研究が示すように、30種中21種のエージェントがデフォルトでAIであることを開示していない現状は、この規制要件との間に大きなギャップがあることを示唆しています。
ブラウザーエージェントが人間のブラウジング行動を模倣してボット対策を回避している実態も見過ごせません。AmazonがPerplexity Cometに対して法的措置を警告した事例は、この問題が理論上の懸念にとどまらず、すでにビジネスの現場で摩擦を引き起こしていることを物語っています。
McKinseyの推計によれば、AIエージェントは2030年までに米国経済に2.9兆ドルの付加価値をもたらす可能性があります。この巨大な経済的ポテンシャルを健全に実現するためには、能力の向上と安全性の検証が同じスピードで進む必要があります。本研究は、その均衡が現時点では大きく崩れていることを、データに基づいて明確に示した点で重要な意義を持ちます。
【用語解説】
システムカード(System Card)
AIエージェントの自律性レベル、振る舞い、リスク分析などを網羅する正式な安全性・評価文書である。基盤モデルではなく、エージェント固有の安全性を文書化したものを指す。
セーフティーウォッシング(Safety Washing)
安全性への取り組みを実態以上に見せかける行為を指す。本研究では、開発者が能力情報は積極的に開示する一方、安全性の実証データは限定的にしか公開しない「透明性の非対称性」を、より弱い形態のセーフティーウォッシングと表現している。
プロンプトインジェクション脆弱性(Prompt Injection Vulnerability)
悪意のある指示をAIエージェントに注入し、セーフガードを無視させる攻撃手法である。ブラウザーエージェントでは、ウェブページ上の悪意あるコンテンツがエージェントを乗っ取る事例が報告されている。
基盤モデル(Foundation Model)
GPT、Claude、Geminiなど、大規模データで事前学習された汎用AIモデルである。多くのAIエージェントはこれらの基盤モデルの上に追加のレイヤーを構築して動作する。
エージェントの自律性5段階レベル(Five Levels of Agent Autonomy)
AIエージェントの自律性を段階的に分類する枠組みである。レベル1(人間が主導)からレベル5(人間は傍観者)まであり、ブラウザーエージェントの多くはレベル4〜5で動作している。
サードパーティーテスト(Third-Party Testing)
開発者以外の独立した第三者機関が実施する安全性評価である。30種中23種がこのデータを未提供であり、客観的なリスク評価の欠如が指摘されている。
EU AI Act
EUが制定した世界初の包括的AI規制法である。2024年8月に発効し、2026年8月2日に高リスクAIシステムへの主要規定が全面適用となる予定である。
【参考リンク】
The 2025 AI Agent Index(外部)
MIT CSAILが主導する主要AIエージェント30種の技術・安全性データベース。45項目の詳細情報を公開している。
Leverhulme Centre for the Future of Intelligence(CFI)(外部)
University of Cambridge拠点のAI研究センター。本研究の筆頭著者レオン・シュタウファーが所属するMPhil課程を運営。
Measuring AI agent autonomy in practice(Anthropic)(外部)
Anthropicが2026年2月18日に公開。Claude Codeと公開APIの数百万件のインタラクションからエージェント自律性を分析。
International AI Safety Report 2026(外部)
ヨシュア・ベンジオ主導、100人以上の専門家が執筆し30カ国以上が支持するAI安全性に関する国際報告書。
EU AI Act(欧州委員会公式ページ)(外部)
EUのAI規制法に関する公式情報。施行スケジュール、リスク分類、コンプライアンス要件などの最新情報を提供。
Perplexity AI(外部)
Perplexity Cometの提供元。AI Agent Indexで最も自律性が高く、最もリスクの高いエージェントの一つとして分析されている。
【参考記事】
AI agents abound, unbound by rules or safety disclosures(外部)
The Registerによる詳報。対象エージェントの具体名、法人登記国の内訳(Delaware 13種、中国5種)、オープンソースの7種など元記事にはない具体的データを多数報じている。McKinseyの試算としてAIエージェントが2030年までに米国経済に2.9兆ドルの付加価値をもたらす可能性があるとの数値も掲載。
Measuring AI agent autonomy in practice(外部)
Anthropicが2026年2月18日に公開した研究。約99万8,481件のツールコールを分析。Claude Codeの上位0.1%セッションの自律実行時間が約45分に倍増したこと、全APIアクションの80%に保護措置が適用されていること等を報告。
New Research Shows AI Agents Are Running Wild Online, With Few Guardrails in Place(外部)
Gizmodoの報道。McKinsey調査で企業の62%がAIエージェントの実験を報告していること、2025年のAI関連論文が2020〜2024年の合計を上回ったこと等を伝えている。
AI agents: Popularity is skyrocketing – despite lack of security(外部)
独heise onlineの報道。AIエージェントがrobots.txtを無視する傾向や、ボット対策の回避機能を明示的に備えている点などを報じている。
International AI Safety Report 2026: what businesses should know(外部)
Lexologyの分析記事。7億人以上が毎週AIシステムを使用していること、AIエージェントがサイバーセキュリティー競技で上位5%に入ったこと等を整理。
【編集部後記】
皆さんが日々触れているAIチャットボットやブラウザーエージェントの「裏側」で、どれほどの安全性情報が公開され、あるいは公開されていないか——今回の調査はその実態を数字で浮き彫りにしました。
AIエージェントが私たちの代わりに購入や予約を行う時代に、「このエージェントは何ができて、何が危ういのか」を知る手段が十分に用意されているかどうか。使い手である私たち自身が問い続けることが、より良い技術との付き合い方につながるのではないでしょうか。
