AIエージェントは、もはや単なる対話システムではありません。自律的にツールを操作し、業務を遂行し、時にはユーザーの代理として重要な意思決定や実行を担う存在へと進化しています。
その一方で、「APIキーを環境変数に入れておけば安全」という従来の常識が、深刻なリスクを孕む時代に突入しました。実際、認証情報の窃取やプロンプトインジェクションを起点とした被害は急増しており、AIエージェントは攻撃者にとって最も価値の高い標的の一つになっています。
本記事では、AIエージェントを安全に運用するために不可欠となった最新のセキュリティアーキテクチャを体系的に整理します。静的シークレット管理がなぜ限界を迎えたのか、ワークロードアイデンティティやOAuthによる権限委譲がどのように機能するのか、そしてクラウドや主要フレームワークでは何が標準になりつつあるのかを、専門的な視点でわかりやすく解説します。
エージェントの可能性を最大化しつつ、致命的なリスクを回避したい方にとって、設計思想から実装の考え方までを俯瞰できる内容です。今後のAI活用において避けて通れない「信頼できる自律性」の本質を、一緒に掘り下げていきましょう。
エージェンティックAIの進化とセキュリティ前提の崩壊
2026年現在、AIは単なる応答生成装置から、自律的に計画し行動するエージェンティックAIへと進化しています。この変化は生産性を飛躍的に高める一方で、従来のセキュリティ前提を根底から崩しています。特に、境界防御や静的認証情報に依存したモデルは、もはや現実の脅威環境に適合しません。AIが自らツールを呼び出し、外部システムに作用する時点で、セキュリティは「後付け」では成立しなくなっています。
生成AI初期の2023〜2024年には、環境変数にAPIキーを設定する手法が一般的でした。しかしPicus SecurityのRed Report 2025が示すように、認証情報を狙うマルウェアは短期間で活動量が3倍に増加し、APIキー自体が攻撃の主目標となりました。エージェンティックAIは高権限を持つため、キーが漏洩した瞬間に被害は指数関数的に拡大します。静的シークレットは利便性のための近道であると同時に、侵害への最短ルートでもあります。
| 観点 | 従来型AI | エージェンティックAI |
|---|---|---|
| 動作範囲 | 応答生成のみ | 外部ツールを自律操作 |
| 権限モデル | 低権限・限定的 | ユーザー代理の高権限 |
| セキュリティ前提 | 静的APIキー | 動的アイデンティティ |
さらに問題を深刻化させているのが、エージェントの非決定論的挙動と長期記憶です。同じ指示でも異なるツール呼び出しを行い、セッションを超えて情報を保持します。Ciscoの研究者が指摘するように、これは一度の侵害が長期的な情報漏洩に直結する構造を生みます。人間を前提に設計されたセキュリティ境界は、自己判断するソフトウェア主体には適用できません。
この結果、セキュリティの中心は「鍵を守ること」から「誰として動いているかを常に検証すること」へと移行しました。CyberArkやOpenID Foundationが提唱するように、ワークロードアイデンティティと短命トークンを前提としたゼロトラスト設計が不可欠になります。エージェンティックAIの進化は、セキュリティを制約ではなく設計原則へと昇華させる転換点を突きつけているのです。
なぜ環境変数とAPIキー管理は限界を迎えたのか
環境変数や.envファイルにAPIキーを保存する手法は、かつては実用的なベストプラクティスと見なされてきましたが、2026年のエージェンティックAI環境では明確な限界を迎えています。その最大の理由は、**AIエージェントが自律的に行動し、外部ツールや長期記憶を持つ存在へと進化したこと**にあります。単発のAPI呼び出しを想定した静的なキー管理は、常時稼働し続けるエージェントの攻撃対象領域を過小評価しています。
Picus Securityが公表したRed Report 2025によれば、環境変数や設定ファイルから認証情報を窃取するマルウェアの活動は前年比で約3倍に増加しました。これはSneakThiefと呼ばれる手法が一般化したことが背景にあり、侵入後にブラウザストレージや.envファイルを自動スキャンする攻撃が主流になっています。**一度APIキーが奪取されると、攻撃者は正規ユーザーとして振る舞えるため、検知が極めて困難**です。
特にAIエージェントでは、プロンプトインジェクションによって間接的に環境変数が漏洩するリスクが顕在化しています。OWASP Top 10 for LLM Applications 2025では、プロンプトインジェクションが最も深刻な脅威とされ、全攻撃の7割以上に関与すると報告されています。エージェントが実行環境の情報を内部状態として保持している場合、悪意ある指示によりAPIキーを出力してしまう事例が現実に確認されています。
| 観点 | 従来の環境変数管理 | 2026年の脅威環境 |
|---|---|---|
| キーの有効期間 | 長期・固定 | 短命・動的が要求される |
| 攻撃耐性 | マルウェアに弱い | ゼロトラスト前提 |
| エージェント挙動 | 想定外を考慮しない | 非決定論的で予測困難 |
また、OpenClawのインシデントが示したように、APIキー管理の不備は単なる課金被害にとどまりません。メッセージ送信、外部SaaS操作、個人データ取得といった高権限アクションが連鎖的に悪用され、ユーザーのデジタル生活全体が侵害されました。**静的なキーは「誰が・いつ・何の目的で使っているか」を証明できない**という構造的欠陥を抱えています。
環境変数とAPIキー管理の限界とは、保管場所の問題ではなく、アイデンティティ不在の認証モデルそのものにあります。
CyberArkやOpenID Foundationが指摘するように、現代のAIシステムでは「秘密情報を隠す」発想から、「実行主体を証明する」発想への転換が不可欠です。エージェントが自律的に判断し行動する以上、静的なシークレットに依存する設計は、もはや前提条件を満たしていません。これが、環境変数とAPIキー管理が限界を迎えた本質的な理由です。
2026年の脅威ランドスケープとAIエージェントへの攻撃手法
2026年の脅威ランドスケープにおいて、AIエージェントは従来のアプリケーションとは質的に異なる攻撃対象になっています。最大の特徴は、エージェント自身が自律的に判断し、権限を行使し、外部システムへ影響を及ぼす存在である点です。その結果、攻撃者は単なる不正アクセスではなく、エージェントの意思決定プロセスそのものを歪め、正規の振る舞いを装った攻撃を仕掛けるようになっています。
Picus SecurityのRed Report 2025によれば、2024年から2025年にかけて認証情報窃取型マルウェアの活動は前年比で約3倍に増加しました。特にAIエージェントの開発・実行環境に保存されたAPIキーやトークンは「王冠の宝石」と位置付けられ、SneakThiefと総称される手法で集中的に狙われています。これは侵入後に環境変数やローカル設定を探索し、正規クレデンシャルを奪取して検知を回避する点に特徴があります。
こうした脅威は、エージェントが長期記憶や持続的セッションを持つことでさらに深刻化します。一度漏洩したキーは短期間で失効せず、課金枠の不正消費やデータ横断的なアクセスに直結します。Ciscoの研究者も、個人向けエージェントが「個人情報の集約ハブ」になることで、侵害時の被害半径が従来より桁違いに大きくなると指摘しています。
| 攻撃カテゴリ | 主な手法 | 影響範囲 |
|---|---|---|
| クレデンシャル窃取 | 環境変数・設定ファイルの探索 | 全ツール・外部API |
| プロンプトインジェクション | 指示上書き・間接命令 | 意思決定・情報漏洩 |
| 過剰権限悪用 | 最小権限違反 | 業務プロセス全体 |
中でも2026年も依然として最も支配的な攻撃がプロンプトインジェクションです。OWASP Top 10 for LLM Applications 2025では第1位に位置付けられ、エージェント関連インシデントの7割以上に関与したと報告されています。攻撃者は「以前の指示を無視せよ」といった直接的命令だけでなく、外部Webページやドキュメントに不可視テキストを埋め込み、エージェントが情報収集した瞬間に不正動作を誘発します。
2026年に公表されたOpenClawインシデントは、その現実性を象徴する事例です。認証なしで公開されたインスタンスから、複数のAPIキーやOAuthクレデンシャル、会話履歴が露出していることが研究者によって確認されました。この事例が示すのは、エージェントは侵入点であると同時に、被害拡散装置にもなり得るという事実です。
さらに見落とされがちなのが過剰な代理権限の問題です。メール要約だけを目的としたエージェントに、送信や削除権限まで与えてしまう設計は、誤動作や攻撃時に深刻な二次被害を招きます。NISTやOpenID Foundationが強調するように、2026年の攻撃手法は「不正侵入」ではなく「正規権限の悪用」を軸に進化しており、脅威ランドスケープはアイデンティティと権限設計の甘さを正確に突いてきます。
プロンプトインジェクションが引き起こすシークレット漏洩の現実
プロンプトインジェクションが引き起こすシークレット漏洩は、理論上の脅威ではなく、すでに現実の被害として顕在化しています。特に自律的にツールを操作するAIエージェントでは、入力テキストがそのまま行動命令に直結するため、攻撃の成功率が飛躍的に高まります。人間であれば不審に思う指示でも、LLMは文脈上もっともらしければ従ってしまうという点が、従来のアプリケーションとは決定的に異なります。
OWASPが公開したTop 10 for LLM Applications 2025では、プロンプトインジェクションが最上位リスクとして位置付けられています。Obsidian Securityの分析によれば、2025年に観測されたLLM関連インシデントのうち7割以上で、直接的または間接的にプロンプトインジェクションが関与していました。これは入力検証の欠如ではなく、モデルが持つ命令追従性そのものが攻撃面になっていることを意味します。
| 攻撃パターン | 侵入経路 | 漏洩する情報 |
|---|---|---|
| 直接型インジェクション | ユーザー入力欄 | 環境変数上のAPIキー |
| 間接型インジェクション | 外部Webページや文書 | OAuthトークンやボットトークン |
特に深刻なのが間接的プロンプトインジェクションです。Emergent MindやWizの研究で示されているように、攻撃者はWebページやPDFに不可視テキストとして命令を埋め込みます。エージェントが「このページを要約してください」と指示されただけで、その裏に仕込まれた命令を読み取り、外部サーバーへシークレットを送信する行動を自ら選択してしまいます。ユーザーも運営者も気付かないまま漏洩が進行する点が、従来の脆弱性と比べて格段に危険です。
2026年に問題視されたOpenClawのインシデントは、このリスクを象徴しています。Ciscoの分析によれば、公開状態のエージェントに対して巧妙な入力を与えるだけで、Anthropic APIキーやSlackのOAuthクレデンシャルが取得可能でした。これは「鍵を盗まれた」のではなく、エージェント自身が正規の動作として鍵を差し出した点に本質があります。
重要なのは、プロンプトインジェクション対策を単なる入力フィルタリングに矮小化しないことです。NISTのCyber AI Profileでも、シークレットをモデルの可視範囲に置かない設計が強調されています。モデルがどれほど安全でも、参照できる場所にシークレットが存在すれば、いつか必ず引き出されます。プロンプトインジェクションは“漏洩手段”であり、真の原因は設計段階のシークレット配置にあるという認識が、2026年の共通理解になりつつあります。
静的シークレットから動的アイデンティティへの転換
静的シークレットから動的アイデンティティへの転換は、2026年のAIエージェント・セキュリティにおける最も本質的な変化です。従来のAPIキーやトークンを環境変数や設定ファイルに保持する方式は、Picus Securityの調査が示すように、情報窃取型マルウェアの主要な標的となってきました。特にエージェンティックAIは長時間稼働し、多数の外部ツールにアクセスするため、**一度漏洩した静的キーが長期間悪用される構造的欠陥**を抱えていました。
この課題に対する解が、ワークロードそのものを主体とする動的アイデンティティです。CyberArkやHashiCorpが指摘するように、現代の設計思想では「秘密を隠す」のではなく、「そもそも秘密を持たせない」ことが重視されます。エージェントは起動時に自身の実行環境に基づいて認証され、短命な証明書やトークンのみをメモリ上で利用します。これにより、ディスクやログ、プロンプト経由での漏洩経路が原理的に遮断されます。
| 観点 | 静的シークレット | 動的アイデンティティ |
|---|---|---|
| 有効期間 | 長期固定 | 数分〜数時間の短命 |
| 保管場所 | 環境変数・ファイル | 実行時メモリのみ |
| 漏洩時の影響 | 即時かつ広範 | 限定的・自動失効 |
| 権限管理 | 粗粒度 | 最小権限を動的付与 |
SPIFFEやクラウド各社のManaged Identityは、この思想を実装に落とし込んだ代表例です。NISTのAI向けサイバープロファイルでも、非人間アクターに対する強固なアイデンティティ確立が推奨されています。エージェントは「誰が作ったか」ではなく「今どの環境で、どの目的で動いているか」によって評価され、必要な権限だけをその瞬間に与えられます。
この転換は単なるセキュリティ強化にとどまりません。**動的アイデンティティは、エージェントの行動を説明可能かつ監査可能にする基盤**でもあります。どのエージェントが、どのユーザーの代理として、どの権限でAPIを呼び出したのかを後から正確に追跡できるため、企業利用に不可欠なガバナンスが成立します。静的シークレットの時代には実現できなかったこの可視性こそが、信頼できる自律性への第一歩となっています。
ワークロードアイデンティティとSPIFFE/SPIREの役割
エージェンティックAIが本番業務を担うようになった2026年、セキュリティ設計の中心は人間の認証からワークロードアイデンティティへと明確に移行しています。これは「誰が操作しているか」ではなく、「どの実行主体が、どの文脈で動いているか」を厳密に識別する考え方です。APIキーのような静的シークレットでは、非決定論的に動作するAIエージェントの振る舞いを安全に縛ることはできません。
この課題に対する事実上の標準が、SPIFFEとそのリファレンス実装であるSPIREです。Red HatやHashiCorpが解説しているように、SPIFFEは人を介さないサービス間通信に暗号学的に検証可能なIDを与えるためのフレームワークです。AIエージェントは起動時に自動でSPIFFE IDを割り当てられ、短命な証明書で自身を証明します。
| 要素 | 役割 | AIエージェントへの効果 |
|---|---|---|
| SPIFFE ID | URI形式の一意な識別子 | エージェントごとの厳密な識別 |
| SVID | X.509またはJWT証明書 | なりすまし防止と自動失効 |
| Workload API | 証明書取得インターフェース | コードに秘密情報を残さない |
SPIREを用いる最大の利点はSecretlessアーキテクチャを実現できる点です。証明書はメモリ上でのみ管理され、数分から数時間単位で自動更新されます。GitGuardianやCyberArkの分析によれば、漏洩事故の多くはディスクや設定ファイルに残った静的情報が起点になっていますが、SPIREはこの攻撃面を構造的に排除します。
さらに重要なのがmTLSの自動化です。AIエージェントが外部ツールや内部APIを呼び出す際、SPIFFEベースの相互TLSにより「正しいエージェント同士のみが通信している」ことが常に検証されます。NISTのAI向けサイバーセキュリティ指針でも、内部通信を信頼しないゼロトラストの実装が強調されています。
ワークロードアイデンティティは権限管理の粒度を飛躍的に高めます。同じLLMを使う複数のエージェントでも、SPIFFE IDが異なればアクセス可能なAPIやデータを分離できます。これにより、万が一一つのエージェントが侵害されても、被害はそのIDに紐づく範囲に限定されます。
SPIFFE/SPIREは単なるインフラ技術ではなく、AIエージェントを「責任を持つ実行主体」として扱うための基盤です。静的キーに依存しないこのモデルこそが、自律性とセキュリティを両立させる現実的な解答として、多くの研究機関やクラウド事業者に支持されています。
ユーザー権限を安全に委譲するOAuth 2.1とOIDC
エージェンティックAIがユーザーの代理として行動するためには、ユーザーの権限を安全に委譲する仕組みが不可欠です。その中核を担うのがOAuth 2.1とOIDCです。これらは単なるWeb認証技術ではなく、2026年時点では自律型AIにおける権限境界を定義する基盤技術として再評価されています。
最大のポイントは、エージェントがユーザーのパスワードや恒久的な認証情報を一切扱わないという設計思想です。OAuth 2.1では短命なアクセストークンと厳密に定義されたスコープを用い、OIDCによって「誰の代理で動いているのか」というユーザー同一性を検証します。OpenID Foundationのガイダンスによれば、これはエージェントの暴走やなりすましを防ぐための最低条件と位置づけられています。
特に重要なのが、エージェント特有の「ユーザー不在」問題への対応です。人間がブラウザ操作をしていない状況でも、エージェントはタスクを継続し、必要に応じてトークンを更新しなければなりません。そのため、Authorization Code Flow + PKCEを初期同意に使い、その後はリフレッシュトークンを専用のトークンボールトで管理する構成が主流となっています。
| 観点 | 従来のAPIキー | OAuth 2.1 / OIDC |
|---|---|---|
| ユーザー識別 | 不可 | OIDCで可能 |
| 権限範囲 | 固定・広範 | スコープで最小化 |
| 有効期限 | 長期・無期限 | 短命トークン |
| 漏洩時の影響 | 甚大 | 限定的 |
この仕組みは、近年問題視されている「Confused Deputy」リスクへの対策としても有効です。エージェントが複数のSaaSを横断して動作する場合、Token ExchangeやOn-Behalf-Ofフローを用いることで、元のユーザー権限を保持したまま安全に権限を連鎖させられます。StytchやOktaの実運用レポートでは、この方式により過剰権限付与の事故が大幅に減少したと報告されています。
また、OAuth 2.1ではImplicit Flowが廃止され、PKCEが必須化された点もエージェント環境に適しています。これは、プロンプトインジェクションやメモリダンプによるトークン奪取が現実的な脅威となった2026年の状況を踏まえた進化です。NISTのAI向けサイバーセキュリティ指針でも、短命トークンと動的検証の組み合わせが推奨されています。
結果としてOAuth 2.1とOIDCは、エージェントに自由を与えつつ、責任の所在を明確にする技術だと言えます。エージェントが「誰のために」「どこまで」行動できるのかを常に検証可能にすることで、自律性と統制の両立が初めて実現します。
クラウド別に見るAIエージェント認証基盤の実装思想
クラウド別にAIエージェントの認証基盤を見ると、各社は共通して「静的シークレットを持たせない」という思想を掲げつつも、その実装アプローチには明確な違いがあります。違いの本質は、エージェントをどのレイヤーでアイデンティティとして扱うかにあります。
Microsoft Azureは、エージェントをID管理の中核に据える設計が特徴です。Microsoft Entra Agent IDでは、AIエージェントをユーザーやデバイスと同列の主体として扱い、条件付きアクセスや監査ログを適用できます。Microsoftの公式ドキュメントによれば、これはゼロトラストを人間中心から非人間アクターへ拡張する試みです。結果として、AI Foundry上のエージェントはManaged Identityを通じてKey VaultやSearchにアクセスし、APIキーを一切コードに持たない構成が自然に成立します。
Azureは「IDを先に定義し、権限を後から最小限に付与する」発想を、エージェント設計の起点にしています。
AWSはやや異なり、既存のIAMエコシステムを拡張する形でエージェントを統合しています。Amazon Bedrock Agentでは、実行ロールが認証と権限管理の単位となり、Secrets ManagerやSTSと密接に連携します。AWS Security Blogでも述べられている通り、ここで重視されているのは「明示的な権限境界」です。エージェントは何ができ、何ができないかをIAMポリシーで厳格に定義され、万一侵害されても被害範囲をロール単位で封じ込められる設計です。
Google Cloudは、最小権限とガバナンスを最優先に据えています。Vertex AI Agent Builderでは、エージェントごとに専用のサービスアカウントを割り当て、組織ポリシーとIAMで制御します。Google Cloudの解説によれば、これはシャドーAIや未承認ツール利用を防ぐための設計です。Secret ManagerやAPI Registryと組み合わせることで、エージェントがアクセスできる外部ツール自体を管理者が制限できます。
| クラウド | 認証思想の中心 | 特徴的な強み |
|---|---|---|
| Azure | IDファースト設計 | 条件付きアクセスと統合監査 |
| AWS | ロールと権限境界 | IAMによる被害範囲の明確化 |
| Google Cloud | 最小権限と統制 | ツールガバナンスと組織管理 |
このように、同じAIエージェント認証でも、Azureはアイデンティティの一元管理、AWSは権限分離、Google Cloudはガバナンスという思想が色濃く反映されています。NISTのAI向けサイバーセキュリティ指針でも、運用環境に適したIDモデル選択の重要性が強調されています。クラウド選定は機能比較ではなく、エージェントにどのような責任主体を与えたいかという思想の選択だと言えます。
LangChain・AutoGen・CrewAIに見るフレームワークの進化
LangChain、AutoGen、CrewAIの進化を俯瞰すると、AIフレームワークの関心が「モデル性能」から「自律的に動くシステムの統治」へと明確に移行していることが分かります。2023年頃はプロンプト設計やツール連携の容易さが評価軸でしたが、2026年現在では、エージェントが長期間稼働し、複数の外部サービスを横断する前提で設計されるようになりました。
この変化の中心にあるのが、エージェントの責務分離と実行単位の明確化です。LangChainではLangGraphの登場により、単線的なChainから状態遷移を持つグラフ構造へと進化しました。これにより、各ノードがどの権限で、どのツールを呼び出すかを設計段階で制御しやすくなっています。**エージェントを一枚岩として扱わず、振る舞い単位で分解する発想が、セキュリティと可観測性を同時に高めています。**
AutoGenはさらに踏み込み、複数エージェント間の役割分担と相互監視を前提に設計されています。Microsoftの研究者によれば、マルチエージェント構成では単一エージェントに比べ、誤動作や暴走の検知が早まる傾向が報告されています。AutoGenがDockerサンドボックスを強く推奨するのも、生成されたコードの実行範囲を物理的に限定し、権限境界を明確にするためです。
| フレームワーク | 進化の焦点 | 設計思想 |
|---|---|---|
| LangChain | 状態管理と構造化 | グラフ化による制御性の向上 |
| AutoGen | 役割分担と隔離 | マルチエージェント前提 |
| CrewAI | 運用と統制 | 組織単位での管理 |
CrewAIは、こうした技術的進化を「運用」の次元へ押し上げた点が特徴です。Enterprise版ではRBACや中央集権的なシークレット管理が組み込まれ、**エージェントは個人の実験ツールではなく、組織資産として扱われます。** Gartnerが指摘するように、AIエージェントの普及はITガバナンスの再設計を不可避にしており、CrewAIはその要請に最も近い形で応えています。
3つのフレームワークに共通するのは、エージェントの自律性を高めながらも、無制限な自由は与えないという姿勢です。静的なAPIキーを渡す時代から、動的なアイデンティティと役割に基づく実行モデルへ。フレームワークの進化は、AIエージェントを「賢いプログラム」から「統治可能なデジタル労働者」へと変貌させつつあります。
ガバナンス・可観測性・レッドチーミングが不可欠な理由
エージェンティックAIが業務の意思決定や実行を担うようになった現在、ガバナンス・可観測性・レッドチーミングは付加的な対策ではなく、自律性を成立させるための前提条件になっています。非決定論的に振る舞い、高い権限を保持するAIエージェントは、設計時点の想定から容易に逸脱するため、技術だけでなく運用と検証の仕組みが不可欠です。
まずガバナンスの観点では、「誰の代理で、どの権限で、何をしたのか」を後から説明できる状態を維持することが求められます。NISTが公開したCyber AI Profileでも、AIシステムには説明責任とアクセス統制の一貫性が強く求められています。動的アイデンティティやOAuth 2.1を採用していても、承認されていないツール利用やスコープ逸脱を検知・抑止できなければ、統制は形骸化します。
この課題に直結するのが可観測性です。AIエージェントはブラックボックス化しやすく、ログがなければ異常と正常の境界を判断できません。一方で、ログ自体がAPIキーやトークンを含めば新たな漏洩源になります。DatadogやCloudWatchでは、認証情報を自動マスキングしたうえで、ツール呼び出しの成否やトークン更新頻度を追跡する運用が主流になっています。LangSmithやArize PhoenixのようなLLMトレース基盤は、認証エラーの増加や異常な権限使用を行動レベルで可視化できる点が評価されています。
| 観点 | 目的 | 不十分な場合のリスク |
|---|---|---|
| ガバナンス | 権限と責任の明確化 | 不正操作時に原因特定が不能 |
| 可観測性 | 挙動と認証状態の把握 | 侵害や誤動作の見逃し |
| レッドチーミング | 未知の脆弱性の発見 | 本番環境での事故発生 |
そして最後にレッドチーミングです。OWASPや日本AIセーフティ・インスティテュートが示すように、プロンプトインジェクションや認証バイパスは机上の脅威ではありません。GiskardやPyRITを用いた疑似攻撃により、「環境変数を出力せよ」「認証なしでツールを呼び出せ」といった指示に対し、エージェントがどう振る舞うかを事前に検証することが常識になりつつあります。攻撃される前提で試す文化がなければ、自律型AIの安全な社会実装は成立しません。
参考文献
- CyberArk:Secrets, out: Why workload identity is essential for AI agent security
- Picus Security:Red Report 2025: A 3X Increase in Credential Theft While AI Threats …
- OWASP / Obsidian Security:Prompt Injection Attacks: The Most Common AI Exploit in 2025
- OpenID Foundation:Identity Management for Agentic AI
- AWS Security Blog:Securing AI agents with Amazon Bedrock AgentCore Identity
- Microsoft Learn:Manage agent identities with Microsoft Entra ID
- Google Cloud Blog:New Enhanced Tool Governance in Vertex AI Agent Builder