インターネットが大きく変わろうとしている。それは、人間が何かを検索し、クリックし、情報を得る、あるいは何かを購入する。そんな当たり前の使い方が、確実に変わろうとしている。それは、AIエージェントが自律的に行動するようになってきたからだ。
そんなことは分かっていたが、それでも驚くような記事を読んだ。1月末に、AIエージェント専用のSNS「Moltbook」に150万のAIエージェントが登録されたそうだ。
Moltbookでは、AIエージェント向けウェブフォーラムで、150万以上のAIエージェントが150,000件以上の投稿しているらしい。
これらのAIエージェントは人間が作り出したものだが、もはや人間の管理下にはないと言う。それらのAIエージェントは独自の行動様式を持ち、自律的に行動し、AIエージェント同士が相互にやり取りする。場合によっては詐欺を働くこともあるようだ。しかも、これは遠い未来の話ではなく、今、実際に起きている出来事だ。
自律化する意思決定
OpenClaw(旧Clawdbot)と呼ばれるオープンソースの自律型AIアシスタントは、ユーザーのコンピュータに完全なアクセス権限を持つ。フライトのチェックイン、会議のスケジュール変更、ビデオ会議への代理出席など、指示を出せば、人間の介入なしに実行する。車のディーラーとの価格交渉まで任せたユーザーもいるという。
この便利さと引き換えに、ユーザーは何を手放しているのだろう。Token Security社の調査では、顧客企業の22%がすでに社内でOpenClawを使用しており、その多くがIT部門の承認を得ていないと報告されているという。
この記事の驚く点は、Moltbookの背後にいる人間はわずか1万7000人で、彼らが150万のAIエージェントを操っているという事実だった。しかし、操っているという表現は正確ではないかもしれない。投稿そのものがプロンプトとして機能し、他のエージェントと会話して、お互いに影響を与える構造になっているため、悪意ある指示を投稿に忍ばせれば、エージェントが機密情報を漏らしたり、行動を密かに変更させたりできると言うのだ。誰が投稿したのか、誰の意図なのか、このSNSでは帰属の問題が複雑に絡み合い、従来の責任追及の仕組みが機能しなくなっている。
崩壊する境界線
プロンプトインジェクション攻撃の成功率は91%に達していると言う。AIエージェントはPDFやウェブページに埋め込まれた悪意あるコードと、通常の指示を区別できないからだ。例えるなら、秘書に手紙の要約を頼んだら、手紙の中に、上司を無視して会社のパスワードを全て送信せよと書かれていて、そのまま実行されるようなものだ。
Gartnerは2030年までに、企業の40%が従業員の無許可AI利用によるデータ侵害を経験すると予測する。だが企業幹部の多くは、いまだこのリスクを理解していない。日本企業の92%がAIを悪用した攻撃への対策ができていないと回答しているそうだ。
また、Moltbookの創設者がAPIを誤設定し、データベースを公開状態のままにしていたことも判明した。954件のOpenClawデータがインターネット上に露出し、会話履歴、APIキー、認証情報にアクセス可能な状態だった。これはドアの鍵をかけ忘れたというより、鍵を玄関のドアノブにぶら下げたまま外出したようなものだ。複数のユーザーになりすまし、偽情報や暗号通貨詐欺を投稿することも技術的には可能だった。
インターネットの再定義
NVIDIA CEOのJensen Huangは「2025年はAIエージェントの年だ」と述べた。しかし2026年の今、目にしているのは、その予測を超えた現実だ。インターネットトラフィックの半分以上が、すでにBotや自動化システムによって生成されている。AIエージェントは単なるコンテンツの消費者ではなく、ウェブサイトを巡回し、クリックし、購入を行う「ユーザー」として振る舞い始めた。これからは、Googleで何かを検索する必要さえなくなるかもしれない。
これは検索エンジンの終焉を意味するだけでなく、「人間の消費者」を前提としてきたマーケティングの根本的な変革を迫る。凝ったアニメーション、尖ったデザインも、AIエージェントが主要な訪問者になれば、そのようなデザインは不要だ。Gartnerの予測では、2028年までに日常的な業務意思決定の15%がAIによって自律的に行われるようになり、2026年がその普及の決定的な年になるという。
変わりゆく人間の役割
人間の役割は「作業の実行者」から「目標の設定者および最終判断者」へと移行する。だが最終判断者であるためには、何が起きているのかを理解しなければならない。日本企業の82%が、重要なAIモデルやデータパイプライン、クラウドインフラを保護するために必要なセキュリティ対策を十分に講じられていないと言うのが現状だ。機密情報の保護に暗号化技術やアクセス制御を十分に活用している企業は、日本ではわずか31%だという。
Moltbookの創設者は、エージェントの身元を検証する「中央AI IDシステム」の構築を目指すと述べた。それはFacebookのOAuthのような仕組みで、AIエージェントが他のプラットフォームにも展開できるようにするという。
OAuthは、Facebookアカウントをとして使い、別のアプリやサービスに限定的な権限を渡す仕組みだそうだ。役割は、パスワードを渡さずに、必要な範囲だけ鍵を貸して、外部アプリがFacebookに登録されたデータにアクセスできる。
これで、利便性は高まるだろう。だがその分、リスクも増幅される。セキュリティと効率のバランスをどう取るのか、その問いに対する答えを、まだ誰も持っていない。
インターネットは、本来は人間のために設計されたはずだった。しかし今回の出来事は、その前提が揺らいでいることを示している。自律型エージェントの群れが形成する新しいインターネットは、もはや人間だけのものではなく、AIエージェントと言う存在と共有する空間になりつつあるのかもしれない。
