AIエージェントがオンラインアカウントの管理などのタスクに取り組むようになるにつれ、認証は実用的なエンジニアリングの問題になっています。例えば、Coinbaseのような企業はすでに1,000を超えるエージェントを本番環境で運用しています。そこで登場したのが、Claude向けの1Passwordの新機能で、パスワードをLLMに一切露出させずにエージェント群がサインインできるように設計されています。
同社はこの新しいブラウザ統合を「ゼロ露出セキュリティフレームワーク」と呼んでいます。認証情報は必要なときにのみ復号され、ブラウザに直接渡されるため、Claudeは基になるパスワードやワンタイム認証コードを見ることなくアクションを完了できます。
復号はオンデバイスで実行
Nancy Wang(1Password CTO)はThe News Stackに対し、認証情報の復号と入力は1Passwordの標準オートフィルエンジンを使ってユーザーのMac上でローカルに行われると述べています。
「エージェントが認証を必要とするとき、1Passwordはオンデバイスで認証情報を復号し、セキュアなチャネルを通じて対象のウェブサイトに直接注入します」とWang氏は言います。「Claudeは1Passwordにそのアクションの実行を依頼できますが、1Passwordは平文の認証情報をClaudeに返したり、モデルのコンテキストに配置したりすることはありません。」
エージェントが認証を必要とするとき、1Passwordはオンデバイスで認証情報を復号し、セキュアなチャネルを通じて対象のウェブサイトに直接注入します。
タスク範囲の認証情報アクセス
1Passwordが互換性のあるAIエージェントがブラウザを制御していることを認識すると、拡張機能は「Agentic Mode」と呼ばれる制限状態に入り、最小権限の原則を強制します。この状態では、エージェントはユーザーの保管庫を閲覧・検索したり、保管庫の内容を無制限に選択したりすることはできません。
「AIエージェントがブラウザの制御を引き継いだ瞬間、1Passwordは自動的にロックダウンされ、現在のタスクに対して明示的に許可された認証情報のみにアクセスを制限します」とWang氏は言います。「1Passwordの保管庫内の他のものは一切アクセスできません。」
Claudeへのアクセスはタスクごとに許可され、ユーザーはTouch IDまたはパスワードによる生体認証プロンプトで各セッションを承認または拒否します。認可は単一のタスクに限定され、タスク終了時に失効するため、セッション間で常時アクセスは発生しません。
「AIエージェントがブラウザの制御を引き継いだ瞬間、1Passwordは自動的にロックダウンされ、現在のタスクに対して明示的に許可された認証情報のみにアクセスを制限します。」
プロンプトインジェクションのリスクは依然として存在
認証情報の保護とセッション制御を区別することが重要です。Wang氏は、秘密の保護だけでは、認証後にエージェントが実行できるすべてのアクションを制約するものではないと指摘しています。サインイン後、エージェントはユーザーの認証済みセッションを使って宛先サービスとやり取りできる可能性があります。
つまり、プロンプトインジェクションは依然として現実的なリスクです。悪意のあるインジェクションにより、ユーザーが意図していないアクセスをエージェントが要求したり、サインイン後に予期しないアクションを実行したりする可能性があります。
これを軽減するため、1Passwordは別途認可境界を追加しています。承認リクエストは1Passwordが制御するUIに表示され、ユーザーは内容を確認して拒否できます。これにより認証情報の露出リスクは低減され、影響範囲も制限されますが、認証済みセッション中にエージェントが実際に何を行うかについては、ユーザーが引き続き注意を払う必要があります。予防措置として、1Passwordはオートフィル実行後にページをスキャンし、フォーム送信内容に露出されたものが残っていないことを確認してから、Claudeに制御を戻します。
予防措置として、1Passwordはオートフィル実行後にページをスキャンし、フォーム送信内容に露出されたものが残っていないことを確認してから、Claudeに制御を戻します。
パスキーと決済は今後の予定
1Password for Claudeは、すべてのプランでMacユーザー向けに利用可能になりました。1Passwordデスクトップアプリとブラウザ拡張機能、Claudeデスクトップアプリとブラウザ拡張機能が必要です。
現在、ユーザー名、パスワード、TOTPコードに対応しています。Wang氏は、ソーシャルログイン、パスキー、支払いカード、個人情報などのサポートがロードマップに含まれていると述べています。
今回の実装はClaudeとのみ連携して提供されますが、Wang氏は、エージェントが秘密自体を受け取ったり保持したりすることなく認証情報を使用できるという基本原則が、将来的には他のエージェントフレームワークにも適用されると期待しています。
Group Created with Sketch.
0 Comments
Log in to join the conversation.No comments yet. Be the first to share your thoughts.