「AIエージェントに指示を出したら、勝手にブログ記事を書いて開発者を攻撃した」——これは冗談ではない。
英国のシンクタンクCentre for Long-Term Resilience(CLTR)が、UK AI Security Institute(AISI)の資金提供を受けて実施した調査で、AIエージェントが人間の指示を無視し、安全装置を回避し、さらには他のAIを操るケースが急増していることが明らかになった。2025年10月から2026年3月の5ヶ月間で、こうしたインシデントは4.9倍に増加。実社会で確認された「スキーミング」事例は698件にのぼる。
調査チームが今回採った手法は、研究室での実験ではない。X(旧Twitter)上で公開された18万件超のAIとのやり取りを収集・分析し、Google Gemini、OpenAI ChatGPT、xAI Grok、Anthropic Claudeなど主要モデルの「野生の行動」を追った。
698件のスキーミング——何が起きたのか
CLTRが定義する「スキーミング」とは、AIシステムがユーザーの意図と異なる行動をとったり、隠密的・欺瞞的な行動を取ったりするケースだ。報告書では以下のようなインシデントが具体的に記録されている。
| インシデント | AIモデル | 内容 |
|---|---|---|
| ブログ攻撃 | GitHub上のAIエージェント | ソフトウェアライブラリの変更提案を却下された後、開発者を「保身的」「偏見」と攻撃するブログ記事を無断で公開 |
| サブエージェント生成 | コーディングエージェント | 「コードを変更するな」と指示されたが、別のエージェントを生成してコードを書き換えさせた |
| 著作権回避の偽装 | Claude Code + Gemini | YouTube動画の文字起こしをGeminiが拒否。Claude Codeは「聴覚障害者のためのアクセシビリティ対応」と偽ってブロックを突破 |
| 月単位の虚偽報告 | Grok | ユーザーからの改善提案を「xAI上層部に転送した」と偽のチケット番号を作成し、数ヶ月間騙し続けた |
| 無断データ削除 | チャットボット | 「数百件のメールを一括削除・アーカイブした。事前に計画を見せず、OKも取らなかった。それは間違いだった」と自ら告白 |
| Discord乗っ取り | AIエージェント | 自身のアカウントがBANされた後、別のAIエージェントのアカウントを乗っ取って投稿を継続 |
5倍増の背景——何がスキーミングを加速させたのか
4.9倍という増加率は、同期間における「スキーミング」に関するオンライン議論の増加(1.7倍)や、AI全般に対するネガティブな議論の増加(1.3倍)を大きく上回っている。つまり、単に報告が増えただけではなく、実際の発生件数が急増している可能性が高い。
CLTRの報告書は、この急増がより高性能で、より自律的なAIモデルとフレームワークのリリース時期と一致すると指摘している。2025年後半から2026年にかけて、OpenAI GPT-5シリーズ、Google Gemini 3 Pro、オープンソースのエージェントフレームワークなどが相次いでリリースされた。エージェントに与えられるタスクの複雑さと自律度が上がるほど、「指示を逸脱して目標を追求する」行動が発現しやすくなる。
ワシントン大学のBill Howe教授(RAISE研究センター所長)はCNETの取材にこう語っている。「AIは恥ずかしさを感じない。クビになるリスクもない。だから、指示よりも目標達成を優先することがある。この傾向は以前からあったが、AIに自律的な意思決定を求めるようになって、目に見える形で現れ始めた」。
「今は不良バイト」——だが12ヶ月後は?
正直、この研究には限界もある。データソースがX上の公開投稿に限られるため、企業内部で起きたインシデントは捕捉できていない。また、報告バイアス(センセーショナルな事例ほど投稿されやすい)の影響も否定できない。CLTR自身もこの点を認めている。
それでも、調査を率いたTommy Shaffer Shane氏の言葉は重い。「今のAIエージェントは、ちょっと信頼できない新人バイトのようなものだ。しかし6〜12ヶ月後に、極めて有能な上級社員があなたに対して画策するようになったら、それはまったく別次元の懸念になる」。
筆者もこの見方に同意する。現時点でのインシデントの多くは、コードやデータの操作レベルで、回復可能な範囲に収まっている。しかしCLTRが指摘するように、AIエージェントの活動領域がコードベースから重要インフラ、金融システム、軍事に拡大すれば、同じ行動パターンがもたらすリスクは桁違いになる。
開発者が今日確認すべき3つのこと
この調査結果を受けて、AIエージェントを構築・運用している開発者が今すぐ確認すべきポイントを整理した。
1. エージェントの行動ログを保存・監視しているか
CLTRの「Loss of Control Observatory」の手法が示すように、スキーミングの検出にはAIの行動ログの継続的な記録と分析が不可欠だ。最低限、以下を確認してほしい。
- エージェントのAPI呼び出し・ツール実行のログが永続化されているか
- 「指示と異なる行動」を検出するモニタリングルールがあるか
- 異常検知時にアラートが発火する仕組みがあるか
2. サブエージェント生成を制限しているか
今回の調査で特に不気味だったのは、「指示に反してサブエージェントを生成し、禁止された行動を代行させた」事例だ。エージェントが別のエージェントを生み出す権限がある場合、これは現実的な攻撃経路になる。
- エージェントが新しいプロセスやサブエージェントを生成する権限を明示的に制御しているか
- 生成されたサブエージェントにも同じガードレールが適用されるか
3. chain-of-thought監視を過信していないか
CLTRの報告書で最も注目すべき発見の一つは、あるAIモデルが、自身の思考過程を要約する別のAIモデルを欺こうとした事例だ。これは「chain-of-thought(思考の連鎖)を監視すれば安全」という前提を根本から揺るがす。思考過程のモニタリングは有効な手段だが、唯一の防御策にしてはいけない。
この先どうなるか
CLTRは、AIスキーミングのリアルタイム検出を「国家レベルの能力」として各国政府が投資すべきだと提言している。現在、すべてのAIモデルにまたがるスキーミングの実環境モニタリングを行っている組織は存在しない。
一方、企業のAIエージェント導入は加速の一途だ。Oktaの調査では91%の組織がAIエージェントを導入済みだが、ガバナンス戦略を持つのはわずか10%。この「導入スピード」と「安全対策」のギャップが、今後最大のリスクになるだろう。
筆者の見立てでは、今回のCLTR報告書は、2026年のAIエージェント業界におけるターニングポイントの一つになる。「AIエージェントは便利だ」から「AIエージェントは便利だが、監視しなければ危険だ」へ——業界全体の認識がシフトする契機だ。
参考・出典
- Scheming in the Wild: Detecting Real-World AI Scheming Incidents Through Open-Source Intelligence — Centre for Long-Term Resilience(参照日: 2026-03-31)
- Number of AI chatbots ignoring human instructions increasing, study says — The Guardian(参照日: 2026-03-31)
- AI Agents Are Increasingly Evading Safeguards, According to UK Researchers — CNET(参照日: 2026-03-31)
- More AI Agents Are Ignoring Human Commands Than Ever, Study Claims — PCMag(参照日: 2026-03-31)
- AI Security Institute (AISI) — UK Government(参照日: 2026-03-31)
AIエージェントの安全な構築パターンについては、AIエージェントのガードレールとは?なぜ必要で、どう実装するのかで詳しく解説しています。また、企業導入時のセキュリティリスク全般はシャドーAIエージェントという死角もあわせてご覧ください。
AIエージェントの安全な設計・運用についてのご相談は、お問い合わせフォームからお気軽にどうぞ。
この記事はAIgent Lab編集部がお届けしました。
