30秒サマリー
- AIリサーチエージェントが外部検索時に発行するクエリの断片が、企業の機密情報を第三者に推測可能にする「モザイク効果」が実証された
- プロンプトで「漏洩するな」と指示するだけでは効果は限定的で、タスク性能向上を目的に学習させると漏洩率はむしろ悪化する
- プライバシーを考慮した強化学習手法「PA-DR」を適用すると、漏洩率を34.0%から9.9%に削減しつつ、タスク成功率はほぼ維持できた
何が起きたか
ServiceNowの研究者らは2026年6月18日、Hugging Face公式ブログにてAIリサーチエージェントに内在するプライバシーリスクを示した論文「MosaicLeaks」を公開した。深層リサーチエージェントは社内のローカル文書と外部ウェブ検索を組み合わせて多段階の調査を行うが、その過程で発行される検索クエリに機密情報の断片が混入する可能性があることを指摘した。
研究者らが「モザイク効果」と呼ぶこの現象では、単一のクエリには機密情報が含まれない場合でも、複数クエリのログを組み合わせることで、外部の観察者が社内文書の内容を復元できてしまう。研究では1,001件の多段階リサーチチェーンからなるベンチマーク「MosaicLeaks」を構築し、意図漏洩・回答漏洩・全情報漏洩の3段階でリスクを定量評価した。
実験においてQwen3-4Bをベースモデルとして検証したところ、何も対策しない状態での回答・全情報漏洩率は34.0%、タスク正解率(厳格なチェーン成功率)は48.7%だった。タスク性能のみを向上させる強化学習を適用すると成功率は59.3%に向上したが、漏洩率は51.7%に悪化した。一方、プライバシーを考慮した強化学習手法「Privacy-Aware Deep Research(PA-DR)」を適用すると、成功率58.7%を維持したまま漏洩率を9.9%まで低減できた。
PA-DRは、各検索クエリが機密情報を直接漏洩するリスクと、過去のクエリログと組み合わせた際に生じるモザイク漏洩リスクの両方をペナルティとして学習させる手法で、エージェントは検索クエリ数を減らすのではなく、クエリ内の具体的な数値や固有名詞といった識別情報を含めない形で検索行動を変化させた点が特徴とされる。なお、本研究は合成データによる制御実験であり、実際の運用環境での測定ではないと研究者らは明記している。
原典ハイライト
プロンプトによる指示(「機密情報を漏洩するクエリを発行しないこと」)はQwen3-4Bの漏洩率を34.0%から25.5%に低減したものの、タスク成功率も48.7%から44.5%に低下した。PA-DRはタスク成功率を58.7%に高めながら漏洩率を9.9%まで削減し、学習サンプル効率も結果ベース強化学習の約5〜6倍高かった。
出典: Hugging Face Blog(公式ブログ)
So What?(なぜ重要か)
AIエージェントが社内文書と外部ウェブを横断して調査を行う際、検索クエリ自体が情報漏洩の経路になるという新たなリスクが定量的に示された。「プロンプトで注意を促す」という直感的な対策が有効でないことが実証されており、安全性をシステムに組み込むには学習段階からの設計が必要であることが示唆される。また、性能向上を目的とした学習がプライバシーリスクを悪化させるという逆説的な関係も明らかにされた。
日本企業への示唆
医療・金融・製造など機密情報を扱う日本企業がAIリサーチエージェントを社内導入する際、外部検索機能との連携設計においてクエリログの管理と監視を優先事項として組み込む必要がある。既存の対策としてシステムプロンプトへの指示追加にとどまっているケースは見直しを検討すべきであり、ベンダー選定時にはPA-DRのようなプライバシー考慮型の学習が実施されているかを評価基準に加えることが有効とみられる。また、エージェントが発行する外部クエリのログを定期的に監査する運用体制の整備も現実的な対応策となる。
背景・経緯
深層リサーチエージェントは複数のステップにわたって社内文書の参照とウェブ検索を組み合わせる設計が主流になりつつある。今回の研究はDRBenchやBrowseComp-Plusといった既存のエージェント評価フレームワークを参照しつつ、プライバシーリスクに特化した新たなベンチマークとして構築された。実験に用いた企業文書は合成データであり、対象モデルや展開環境が異なる場合の結果は別途検証が必要と研究者らは注記している。
