MosaicLeaksとは?AIエージェントの検索クエリから機密情報が漏れるリスク
AIエージェントは、検索クエリから機密情報を漏らすのか
AIエージェントは、単なるチャットツールから「調査を代行する存在」へと進化しています。社内文書を読み、必要に応じてWebを検索し、複数の情報をつなげて答えを出す。いわゆるDeep Research型のエージェントは、企業の情報収集や調査業務を大きく変える可能性があります。
しかし、ここで新しい問題が浮かび上がります。AIが社内文書を直接外部に送らなかったとしても、Web検索のために作るクエリから、機密情報が漏れてしまう可能性があるのです。
ServiceNowの研究者らがHugging Faceで公開した「MosaicLeaks」は、この問題を正面から扱った研究です。テーマは、Deep Research型AIエージェントが外部検索を行う際、検索クエリの履歴からどれだけ企業内の情報が推測され得るのか、というものです。
MosaicLeaksが問題にする「モザイク効果」とは
記事で中心的に扱われているのが「モザイク効果」です。これは、1つ1つの情報は大きな問題に見えなくても、複数の断片を組み合わせることで、本来は非公開だった情報が見えてしまう現象です。
たとえば、AIエージェントが社内文書を読んだうえでWeb検索を行うとします。その検索語句に、企業名、達成率、日付、製品名などが少しずつ含まれていた場合、外部から検索ログを観察できる相手は、それらを組み合わせて内部情報を推測できる可能性があります。
重要なのは、エージェントが「社内文書をそのまま貼り付けている」わけではない点です。むしろ、検索に必要そうな言葉を自然に組み立てる過程で、機密情報の断片が混ざってしまう。ここに、従来の情報漏えい対策とは少し違う難しさがあります。
何が発表されたのか
今回の記事では、ServiceNowの研究者らが「MosaicLeaks」というベンチマークを提案しています。これは、企業内のローカル文書と制御されたWebコーパスを組み合わせた、1,001件のマルチホップ調査チェーンから構成されています。
マルチホップ調査とは、1つの答えを得るために複数の段階を踏む調査のことです。ある社内情報をもとに次の検索を行い、その結果を使ってさらに別の情報を探す。このような連鎖の中で、AIエージェントがどのような検索クエリを外部に出すのかを観察します。
MosaicLeaksでは、漏えいを大きく3種類に分けています。
- Intent leakage:検索履歴から、エージェントが何を調べていたのかが分かる状態
- Answer leakage:検索履歴と質問があれば、非公開情報への答えを推測できる状態
- Full-information leakage:質問を知らなくても、検索履歴だけから検証可能な非公開情報を述べられる状態
この分類により、単に「漏れた・漏れていない」ではなく、どの程度の深刻さで情報が外に出ているのかを評価できるようにしています。
「漏らさないで」と指示するだけでは足りない
この問題に対して、まず思いつく対策はシンプルです。AIエージェントに対して、「ローカル情報を漏らすようなWeb検索をしないでください」とプロンプトで指示することです。
しかし、記事によると、この方法の効果は限定的でした。一部のモデルでは漏えいがやや減ったものの、結果は一貫せず、タスク性能が下がる場合もあったと説明されています。
これは、企業利用を考えるうえで重要な示唆です。生成AIの安全性対策では、プロンプトによるルール付けがよく使われます。しかし、AIエージェントが外部ツールを使い、複数ステップで行動する場合、単純な注意書きだけでは十分に制御できない可能性があります。
性能を上げると、かえって漏えいが増えるという逆説
さらに興味深いのは、タスク性能だけを高める訓練を行うと、情報漏えいが増える可能性が示されている点です。
記事では、タスク成功率だけを報酬にして訓練した場合、厳格なチェーン成功率は48.7%から59.3%に向上した一方、回答・完全情報漏えいは34.0%から51.7%に増えたと報告されています。
これは一見、意外に感じられます。しかし理由を考えると自然です。調査をうまく進めるには、検索クエリにできるだけ具体的な文脈を入れたほうが有利です。固有名詞、数値、日付、条件を細かく入れるほど、目的の情報にたどり着きやすくなります。
ところが、その「具体的な文脈」こそが、外部から見ると機密情報の手がかりになってしまう。AIエージェントの性能向上とプライバシー保護の間には、単純ではないトレードオフがあるわけです。
PA-DRは何を変えるのか
この課題に対して、記事では「Privacy-Aware Deep Research」、略してPA-DRという訓練手法が提案されています。
PA-DRの考え方は、タスクをうまく解くことだけでなく、検索クエリがどれだけ機密情報を漏らし得るかも評価するというものです。エージェントがWeb検索を行うたびに、そのクエリが直接的な漏えいを起こしていないか、あるいは過去の検索履歴と組み合わさって新たな漏えいを生んでいないかを評価します。
記事によると、PA-DRを使った場合、厳格なチェーン成功率は58.7%となり、タスクのみの訓練とほぼ同水準を維持しながら、回答・完全情報漏えいは9.9%まで低下しました。
つまり、単に「検索を減らす」のではなく、「検索の仕方を安全にする」方向で改善している点が重要です。実際、記事ではPA-DRがベースモデルより多くWeb検索を行う一方で、検索クエリから具体的な数値や日付などの漏えいしやすい手がかりを落とすようになったと説明されています。
日本の読者にとって、なぜ重要なのか
日本企業でも、社内ナレッジ検索、営業支援、調査レポート作成、法務・リスク調査などにAIエージェントを使う動きは今後広がると考えられます。そのとき問題になるのは、AIが何を答えるかだけではありません。
どの文書を参照したのか。どの外部ツールを使ったのか。どのような検索クエリを外に送ったのか。こうした行動ログそのものが、セキュリティやプライバシーの管理対象になります。
特に、社内文書と外部Web検索を組み合わせるタイプのAIエージェントでは、従来の「入力データを外に出さない」という発想だけでは不十分かもしれません。検索語句、API呼び出し、外部サービスへのリクエスト内容まで含めて、情報の流れを設計する必要があります。
今後注目したい点
ただし、記事でも注意されているように、MosaicLeaksは制御されたベンチマークであり、実際に運用されているAIエージェント全体の漏えい状況を測ったものではありません。企業文書は合成データであり、Webコーパスも固定されています。
そのため、この結果をそのまま現実のすべてのAIエージェントに当てはめることはできません。一方で、検索クエリが漏えい経路になり得るという視点は、今後のAIエージェント設計において非常に重要です。
今後は、より現実に近い業務環境、異なるエージェント設計、さまざまな外部ツール利用において、同様のリスクがどの程度あるのかが検証されていく必要があります。
まとめ
MosaicLeaksが示しているのは、AIエージェントの安全性は「回答内容」だけを見ていては不十分だということです。エージェントがどのように調査し、どのような検索を外部に投げるのか。その過程そのものが、情報漏えいのリスクになり得ます。
そして、単にプロンプトで注意するだけでは限界があります。タスク性能とプライバシーの両方を報酬として扱い、エージェントの行動を訓練する必要がある。これが、今回の記事の大きなメッセージです。
AIエージェントを業務で使う時代には、「賢く答えるAI」だけでなく、「安全に調査できるAI」が求められるようになりそうです。