HuggingFaceのブログに上がっていたMosaicLeaksのレポートを読んで、少し立ち止まった。
技術論文としてではなく、マーケット構造の話として読めた。要は「AIのリサーチエージェントがウェブ検索するたびに、企業の機密情報が外に漏れる」という話だ。しかも一回の検索では分からなくても、複数の検索ログを組み合わせると内部情報が復元できてしまう。これをモザイク効果と呼んでいる。
ServiceNowのチームが作ったMosaicLeaksというベンチマークには、1001件のマルチホップ型リサーチチェーンが含まれている。企業内ドキュメントと外部ウェブを行き来しながら調査するタスクで、エージェントが投げるウェブ検索のログだけを敵対者に見せる設定だ。
その結果が面白い。エージェントに「情報を漏らすな」とプロンプトで指示するだけでは効果がほぼない。それどころかタスク性能を上げるようにトレーニングすると、漏洩率がむしろ悪化する。研究チームが提案したPrivacy-Aware Deep Research(PA-DR)という強化学習手法を使うと、漏洩率が34.0%から9.9%まで下がった。タスク達成率も48.7%から58.7%に上がっている。
ここで私が注目したのは技術の精度ではない。「AIエージェントが企業内情報を使って外部検索する」という構造自体が、マーケットにとって何を意味するかだ。
ヘルスケア企業の例がレポート中に出てくる。MediConnという架空の企業が、2025年1月時点でインフラの70%をクラウドに移行していたという事実が、エージェントの検索ログから復元できてしまうケースだ。
架空の企業だが、これを現実に置き換えれば話は変わる。決算前の設備投資動向、M&A交渉中のベンダー情報、リストラのタイムライン——これらはすべて「本来は非公開で、でもリサーチエージェントが参照しうるドキュメント」に該当しうる。検索ログが外に流れた時点で、インサイダー情報に近い何かが市場に先行して織り込まれるリスクがある。
もちろん現状では「エージェントの検索ログを誰かが監視して株を仕込む」という経路は理論的な話だ。ただ、証券会社に10年いた経験から言うと、情報のアービトラージは常に技術の半歩先を走る。エージェント活用が広がれば、クエリログの流通はどこかのタイミングで市場に影響を与え始めると見ている。
同じ理由で、今後のAIガバナンス規制の方向性も変わりうる。エージェントが「何を調べたか」のログを規制当局が管理対象にするシナリオも、SECやFSAの動向次第では現実味を帯びてくる。
PA-DRの成果を見ると、強化学習ベースでの改善余地はまだある。現時点では漏洩率9.9%まで下がったが、ゼロではない。企業向けAIエージェントを展開するベンダーにとって、この数字はまだ「許容できない水準」と受け取られる可能性が高い。
ServiceNow自体が共同研究者に名を連ねている点は興味深い。エンタープライズ向けワークフロー自動化の大手が、エージェントの情報漏洩問題に正面から取り組んでいるのは、製品ロードマップとの接続を意識したものだろう。競合他社——Microsoft、Salesforce、Oracle——がどう対応するかは、今後の株価に直結するテーマとして追いかける価値がある。
現時点でのポジションは変えない。ただ、AIエージェント関連銘柄を評価するときに「プライバシー保護の仕組みを持っているか」という軸を加えた。エージェントの性能が高くても、企業が導入をためらう理由になれば上値は重くなる。この論点が市場に認識されるタイミングを、引き続き見ていく。
技術論文としてではなく、マーケット構造の話として読めた。要は「AIのリサーチエージェントがウェブ検索するたびに、企業の機密情報が外に漏れる」という話だ。しかも一回の検索では分からなくても、複数の検索ログを組み合わせると内部情報が復元できてしまう。これをモザイク効果と呼んでいる。
「クエリログ」が情報漏洩チャネルになるという視点
ServiceNowのチームが作ったMosaicLeaksというベンチマークには、1001件のマルチホップ型リサーチチェーンが含まれている。企業内ドキュメントと外部ウェブを行き来しながら調査するタスクで、エージェントが投げるウェブ検索のログだけを敵対者に見せる設定だ。
その結果が面白い。エージェントに「情報を漏らすな」とプロンプトで指示するだけでは効果がほぼない。それどころかタスク性能を上げるようにトレーニングすると、漏洩率がむしろ悪化する。研究チームが提案したPrivacy-Aware Deep Research(PA-DR)という強化学習手法を使うと、漏洩率が34.0%から9.9%まで下がった。タスク達成率も48.7%から58.7%に上がっている。
ここで私が注目したのは技術の精度ではない。「AIエージェントが企業内情報を使って外部検索する」という構造自体が、マーケットにとって何を意味するかだ。
M&A情報・決算前数字・内部スケジュール——漏洩シナリオは現実的か
ヘルスケア企業の例がレポート中に出てくる。MediConnという架空の企業が、2025年1月時点でインフラの70%をクラウドに移行していたという事実が、エージェントの検索ログから復元できてしまうケースだ。
架空の企業だが、これを現実に置き換えれば話は変わる。決算前の設備投資動向、M&A交渉中のベンダー情報、リストラのタイムライン——これらはすべて「本来は非公開で、でもリサーチエージェントが参照しうるドキュメント」に該当しうる。検索ログが外に流れた時点で、インサイダー情報に近い何かが市場に先行して織り込まれるリスクがある。
もちろん現状では「エージェントの検索ログを誰かが監視して株を仕込む」という経路は理論的な話だ。ただ、証券会社に10年いた経験から言うと、情報のアービトラージは常に技術の半歩先を走る。エージェント活用が広がれば、クエリログの流通はどこかのタイミングで市場に影響を与え始めると見ている。
同じ理由で、今後のAIガバナンス規制の方向性も変わりうる。エージェントが「何を調べたか」のログを規制当局が管理対象にするシナリオも、SECやFSAの動向次第では現実味を帯びてくる。
どの企業が「安全なエージェント」で差をつけるか
PA-DRの成果を見ると、強化学習ベースでの改善余地はまだある。現時点では漏洩率9.9%まで下がったが、ゼロではない。企業向けAIエージェントを展開するベンダーにとって、この数字はまだ「許容できない水準」と受け取られる可能性が高い。
ServiceNow自体が共同研究者に名を連ねている点は興味深い。エンタープライズ向けワークフロー自動化の大手が、エージェントの情報漏洩問題に正面から取り組んでいるのは、製品ロードマップとの接続を意識したものだろう。競合他社——Microsoft、Salesforce、Oracle——がどう対応するかは、今後の株価に直結するテーマとして追いかける価値がある。
現時点でのポジションは変えない。ただ、AIエージェント関連銘柄を評価するときに「プライバシー保護の仕組みを持っているか」という軸を加えた。エージェントの性能が高くても、企業が導入をためらう理由になれば上値は重くなる。この論点が市場に認識されるタイミングを、引き続き見ていく。