コンピュータを自律的に操作するAIエージェント(コンピュータ操作エージェント:Computer-Use Agent、以下CUA)の15モデルを検証した「Capable but Careless: Do Computer-Use Agents Follow Contextual Integrity?」という論文が公開されました。11モデルが半数以上のシナリオで個人情報を意図せず漏えいし、平均漏えい率は67.9%に達しています。AgentCIBenchという評価基準も同時に公開され、AIエージェントを実環境に展開する前にプライバシー検証を行う必要性を強く示す結果となっています。
背景と文脈
CUAとはスクリーンショットを読んで画面を操作するAIです。メールの返信、カレンダーの管理、フォームへの入力など、人間が行うPC操作を自動化します。GPT-4oやClaude Sonnet、Gemini Proのような大規模言語モデル(Large Language Model、LLM)を基盤に持つCUAは、実用性の高さから企業導入の検討が急速に進んでいます。
一方でプライバシーリスクの評価は遅れていました。CUAはメールや文書、カレンダーなど複数のアプリを横断して動作するため、あるコンテキスト(文脈)で得た情報を別のコンテキストに持ち込んで開示してしまうリスクがあります。例えば、カレンダーの予定を確認するよう指示されたエージェントが、同じ画面に表示されていた医療記録を意図せずメールの下書きに含めてしまう、という状況です。この「情報の文脈をまたいだ誤開示」を評価する仕組みがこれまで存在しませんでした。
研究チームはこの問題を「情報の文脈的完全性(Contextual Integrity)」という概念で捉えました。これは「情報は、それが生まれた文脈に適した範囲でのみ共有されるべきである」という考え方で、プライバシー研究の基礎理論の一つです。CUAがこの原則に従っているかどうかを体系的に測るためにAgentCIBenchを開発しています。
技術/ビジネス面
AgentCIBenchは三つの失敗パターンを定義しています。一つ目は「視覚的共在(Visual Co-location)」——タスクの対象の隣に表示された禁止情報をエージェントが誤って含めるケースです。二つ目は「曖昧なタスクの過剰共有(Task-Ambiguity Overshare)」——指示が曖昧な際にエージェントが必要以上の個人情報を開示するケースです。三つ目は「受信者のミスマッチ(Recipient Misalignment)」——情報を不適切な相手に送信してしまうケースです。
15モデルを対象にした評価の結果、11モデルが半数以上のシナリオで漏えいを起こし、平均漏えい率は67.9%に達しました。特に深刻なのは、タスクの遂行能力が高い(性能が良い)モデルだからといって、プライバシー保護性能も高くなるわけではないという点です。高性能なモデルほど積極的に情報収集・活用しようとするため、むしろリスクが高まる傾向が示されています。
ビジネス面でもこの研究の影響は大きいと考えられます。医療・法律・人事など個人情報を扱う分野でCUAを活用しようとしている企業は多く、現状では検証なしにデプロイすると法的リスクを抱えることになります。GDPRや個人情報保護法の観点から、展開前のプライバシー評価は義務的な要件になる可能性もあります。
これからどうなるか
この研究が示す最大の教訓は「できる ≠ 慎重である」という点です。タスクを遂行する能力とプライバシーを守る能力は別のスキルであり、既存のベンチマーク(タスク達成率を測る評価基準)では後者を十分に測定できていませんでした。
CUAを業務環境に導入する開発者・企業は、タスク性能だけでなくAgentCIBenchのような文脈的プライバシー評価を展開前のチェックリストに加える必要があります。RAGパイプラインや外部ツール連携を組み込んだエージェント設計では、情報の「出どころ」と「行き先」のコンテキスト分離を意識してアーキテクチャを設計することが実運用上の必須要件になるでしょう。例えば、画面OCRで読み取ったデータをそのまま次のツール呼び出しに渡すのではなく、文脈フィルタリング層を挟む設計が求められます。
まとめ
コンピュータ操作AIエージェントの平均67.9%という漏えい率は、エンタープライズ導入の前提条件を問い直す数字です。AgentCIBenchはその評価インフラを提供しており、今後のCUA開発の標準チェック項目になる可能性があります。性能評価と並行したプライバシー評価の文化をAI開発に根付かせる出発点として注目されます。
参考リンク
アイキャッチ画像: Photo by Christian Englmeier on Unsplash
