7月13日、アリババAIセキュリティラボはスマートエージェントのセキュリティガードであるSingGuard-NSFAをオープンソース化し、同時にマルチモーダルセキュリティガードであるSingGuardの詳細情報を公開しました。2つのモデルは「自律的に動作するスマートエージェント」と「マルチモーダル対話の大規模モデル」の2つの前線的なシナリオに焦点を当てており、アリババがAIセキュリティ分野においてさらにシステム的なレイアウトを整えたことを示しています。

AIがコンテンツ生成から自律的実行へと進化する中、セキュリティ問題はモデル出力から行動制御や権限管理、システムガバナンスへと拡大しています。スマートエージェントはツールを自主的に呼び出し、コードを実行し、タスクを計画するようになり、モデルも画像やテキストなどのマルチモーダル情報を理解する能力を持つようになってきました。AIシステムの能力の境界が拡大する一方で、新たなセキュリティ課題も生じています。

過去1年間で、プロンプトインジェクション、権限の乱用、悪意のあるコードの実行、データ漏洩など、継続的なセキュリティイベントが発生してきました。Amazon Qのプロンプト汚染やMicrosoft Copilotのデータ漏洩、そしてオープンソースのスマートエージェントOpenClawが暴露したプロンプトインジェクションのリスクなど、すべてがスマートエージェントの自律性が高いほどセキュリティリスクが顕著になることを示しています。2025年12月にOWASPは「スマートエージェントアプリケーションセキュリティの十大リスク」を発表し、スマートエージェント特有のセキュリティ脅威を体系的に整理しました。2026年5月には国家ネット情報弁公室、国家発展改革委員会、工業情報化部が共同で「スマートエージェント規範応用と革新発展の意見」を発布し、初めて国家レベルでスマートエージェントセキュリティガバナンスに明確な要件を提示しました。

このような状況の中、アリババAIセキュリティラボは今回2つのセキュリティモデルをオープンソース化し、大規模モデルとスマートエージェントにさらに完備された下位セキュリティ能力を提供することを目的としています。

SingGuard-NSFA: スマートエージェント操作に「リアルタイムブレーキ」を装着

スマートエージェントが「質問に答える」段階から「自律的に業務を行う」段階へと進むにつれて、AIはツールを呼び出し、コードを実行し、複数ステップのタスクを構成するようになります。セキュリティリスクはもはやコンテンツの領域にとどまらず、行動の領域に広がっています。プロンプトインジェクション、センシティブな情報の盗難、悪意のあるコードの実行、リソースの枯渇、権限の乱用などの問題が発生しており、従来のコンテンツ監査システムでは効果的にカバーできません。

この課題に対処するために、アリババAIセキュリティラボはSingGuard-NSFAをリリースしました。これはスマートエージェントのアクションを実行する前にリアルタイムでセキュリティ検出を行い、リクエストのブロッキングとレスポンスのバックアップの両方で行動セキュリティ保護システムを構築します。

SingGuard-NSFAはCIA(機密性、完全性、可用性)の原則に基づき、OWASPなどの国際セキュリティガイドラインを組み合わせて、スマートエージェントのリスクを7つの大類、28の中小類、185の具体的なシナリオに細分化し、133種類の言語、約10万件のサンプルをカバーするスマートエージェントセキュリティ評価システムを構築しました。

技術的な実現においては、SingGuard-NSFAはセキュリティ監査とリアルタイム保護の両方のニーズを満たしています。2つの作業モードを提供します。一つのモードは詳細なリスク分析報告書を逐条生成し、事後の審査やコンプライアンス記録に便利です。もう一つのモードは50ミリ秒以内で単一のリスク判断を完了し、オンラインの高並列なシナリオでのリアルタイムブロッキングに適しています。また、0.8B、2B、4B、9Bの4つのモデルサイズを提供し、さまざまな導入ニーズに応えます。

image.png

多数の公開評価によると、SingGuard-NSFAはスマートエージェントの入力および出力のセキュリティ検出において優れた性能を示しています。そのうち、0.8Bモデルでも8Bモデルの性能に達しており、新しいリスクカテゴリを追加する際には全体モデルを再トレーニングする必要なく、軽量モジュールのみをトレーニングすればよく、既存のセキュリティガードの検出能力をさらに向上させることができます。

SingGuard: マルチモーダルコンテンツの「全能のゲートキーパー」

スマートエージェントの操作セキュリティと並行して、もう一つの防衛線はマルチモーダルインタラクションシナリオにおけるコンテンツセキュリティです。今年6月にAnthropicがクラウドFable5という旗艦モデルを発表しましたが、数日以内に研究者によってUnicode文字やシリアン文字を使用してセンシティブな語句を置き換えることでセキュリティガードを回避されました。モデルは元の意味を復元できるものの、分類器はそれを陌生なスペルと見なし、システムプロンプトが漏洩しました。これにより、モデルが変形したテキスト、画像、マルチモーダル情報などを読み取れるほど高度になると、従来のキーワード識別方式のガードは限界に達することがわかります。

SingGuardはこのような状況のために設計されたマルチモーダルセキュリティガードです。テキスト、画像、そしてマルチモーダルコンテンツに対して統一されたセキュリティ判断フレームワークを構築し、攻撃者がテキストや画像などの異なるモーダルに悪意ある行動を隠す複雑な攻撃を認識できます。また、実行時に動的に自然言語のセキュリティルールをロードできるようにし、モデルの再トレーニングなしにルールの更新が可能です。ルールが継続的に進化し、業務流量が大きい本番環境にもより適しています。

推論メカニズムにおいては、SingGuardは「速さと遅さの結合」モードを採用しています。まず速く初期判断を完了し、複雑なシナリオの場合はさらに推論を開始するため、効率を保ちつつ検出精度を向上させます。

image.png

テキストクエリ、テキストレスポンス、画像、マルチモーダル、多言語の6つの大カテゴリにおける評価では、SingGuardは35のデータセットおよび評価分割での平均F1スコアが最高となっています。比較対象となるのはLlama Guard3、グーグルShieldGemma、GPT-5.1、Gemini3-Proなどの業界内で最も代表的な主要なガードであり、SingGuardはこれらすべてで全面的なリードを示しています。

中国信通院人工知能研究所セキュリティガバナンス部副主任のホナイン氏は、「大規模モデルがコンテンツ生成から自律的実行へと進化する中、AIセキュリティはコンテンツ監査から行動管理とシステムガバナンスへと拡大している。これはスマートエージェントのスケーラブルな応用における重要な基本能力である」と述べました。アリババAIセキュリティラボはすでにオープンソースのスマートエージェントフレームワークOpenClawに対して専門的なセキュリティ監査を実施し、今年4月には清华大学と協力してオープンソースのスマートエージェントセキュリティ防御プラグインClawAegisをリリースし、自律的スマートエージェントに全ライフサイクルのセキュリティ保護能力を提供しています。今回のSingGuard-NSFAとSingGuardのマルチモーダルセキュリティガードの同時オープンソースは、アリババグループが継続的にAIセキュリティ技術の開発とオープンエコシステムの建設に取り組んでいる重要な実践です。

これらのセキュリティ技術の開発とオープンソース化は、アリババグループが20年以上にわたるセキュリティ技術の蓄積に基づいています。支払いセキュリティ、データセキュリティ、プライバシー保護、リスクガバナンスなどの分野での長期的な実践を通じて、アリババは継続的にAIセキュリティ体制を整えており、関連能力はアリババの福(アフー)、AI版の支付宝「アボ」、支付宝「AI支払い」などのビジネスシーンに応用されています。

一方で、アリババグループはAIセキュリティ標準とガバナンスシステムの構築にも継続的に参加しており、IIFAAの「端末スマートエージェント信頼性接続技術規格」の策定に携わり、ITUの国際標準「端末スマートエージェント信頼性接続技術規格」のプロジェクト提案を主導し、スマートエージェントセキュリティ信頼性接続プロトコルASLを発表しました。これらを通じて、AIセキュリティ能力が技術革新から産業実践へと広がるよう継続的に推進しています。