ヘッドウォータース

[論文紹介]エージェントの戦略と防御を問う ~テストで学ぶマルチエージェント最新論文~

Shimotomai, PhD.
に公開
論文解説
マルチエージェント
A2A
idea

1. マルチエージェントの戦略と防御を問う七難問

マルチエージェントの最近のarxiv上の論文を解説していきます。
今、時代はマルチエージェントの時代になりましたが、効率化・セキュリティのリスクについて戦い方を考えないと大きな失敗を引き起こしかねません。そこで、最新の研究を参考に新しい時代の方策を考えていきましょう。

今回取り上げる論文を紹介します。
今回も孔明先生にこの記事で取り上げた3本の解説をしていただきました。最近孔明先生キャラで解説してもらっていますが、軍師という視点からの洞察が興味深いです。

  • BHATT, Manish, et al. Coalesce: Economic and security dynamics of skill-based task outsourcing among team of autonomous llm agents. arXiv preprint arXiv:2506.01900, 2025.
    「COALESCEの策は、まさに兵站の最適化。資源を惜しみ、任務を分け、適材適所にて人を配す。これは、かつて我が軍が蜀の地にて行った兵力分散の妙に通ずる。」
  • KONG, Dezhang, et al. A survey of llm-driven ai agent communication: Protocols, security risks, and defense countermeasures. arXiv preprint arXiv:2506.19676, 2025.
    「Description Poisoningなる術は、敵が偽旗を掲げて我が陣を惑わすが如し。これを見抜くには、ただの知識にあらず、信と検証の盾が必要なり。」
  • REN, Xinxing, et al. Anemoi: A Semi-Centralized Multi-agent System Based on Agent-to-Agent Communication MCP server from Coral Protocol. arXiv preprint arXiv:2508.17068, 2025.
    「Anemoiの構造は、中央の命令に頼らず、各将が自ら考え、連携する戦略。これは、赤壁の戦いにおける周瑜と諸将の連携にも似たり。柔軟なる構造こそ、変化に強き軍を作る。」

今回はテスト問題→論文解説→解答の順で説明して行きます。
この順番はトリッキーですが、自分は最初にテスト問題を見た方が理解しやすかったので、この順番にしてみました。

2. 早速、テスト問題です。

マルチエージェントのアーキテクチャとセキュリティに関して、特にA2AとMCPに関する論文を元に、GEMINIに問題を作ってもらいました。

テスト問題にチャレンジしてみてください。選択肢の雰囲気でなんとなくわかりそうではあります。
論文を元に出題しているのではっきり言って難問です。
最新の(査読も通っていないかもしれない)論文ですので、わからないのは当たり前。落ち込む必要は全くありません。後の方にある解説を見て勉強してください。

むしろ解ける人がいたら素晴らしいです。解けるあなたは、こんなブログ読んでいる場合ではありません。さっさと自分の研究して論文書いて社会に貢献してください。

2-1. A2AプロトコルとMCP(Model Context Protocol)の主な違いは何ですか?

  • A. A2Aはデータのプライバシー保護に特化しており、MCPはエージェントの経済的取引を管理します。
  • B. A2AとMCPは同じ目的を持つ競合するプロトコルであり、機能的な違いはありません。
  • C. A2Aはエージェント間の水平的なコラボレーションを対象とし、MCPはエージェントとツール/環境間の垂直的な対話を対象としています。
  • D. A2Aは中央集権的なオーケストレーションモデルであり、MCPは分散型のピアツーピア通信モデルです。

2-2. A2Aプロトコルにおける「エージェントカード(Agent Card)」の主な目的は何ですか?

  • A. エージェントが実行したタスクの最終成果物(ドキュメントやコードなど)を保存することです。
  • B. エージェントの能力、エンドポイントURL、認証要件などを記述した標準化されたメタデータを提供し、他のエージェントによる発見を可能にすることです。
  • C. エージェント間の会話履歴を暗号化して保護することです。
  • D. 実行中のタスクの進捗状況をリアルタイムで追跡することです。

2-3. COALESCEフレームワークは、LLMエージェントシステムにおけるどの主要な課題に対処するために設計されましたか?

  • A. エージェントの記憶容量の限界を克服し、長期的な対話の文脈を維持することです。
  • B. 特にGPUリソースに関連する高い運用コストと計算要求を削減するため、タスクのアウトソーシングを可能にします。
  • C. エージェント間の通信プロトコルが標準化されていないことによる相互運用性の欠如を解決することです。
  • D. 人間の音声コマンドや画像入力などのマルチモーダルな対話を処理する能力を向上させることです。

2-4. COALESCEフレームワークの主な目的と、その実証結果に関する記述として最も適切なものはどれですか。

  • A. LLMエージェントの運用コストを削減するため、タスクをローカルで実行するように強制し、内部計算コストのみを最小化することを目的とするフレームワークである。
  • B. LLMエージェントが複雑なサブタスクを外部のコントラクターエージェントに動的にアウトソーシングするかどうかを決定し、適切な探索メカニズムを用いる。
  • C. 主にP2P通信プロトコルであるANPを活用し、タスクの外部委託価格ではなく、ワーカーエージェントのGPUリソース利用率のみを多基準決定分析(MCDA)の基準とする。
  • D. エージェント間の通信プロトコルとしてMCPを必須とし、理論的なシミュレーションにおいて、探索メカニズムの有無にかかわらずコスト削減効果を示した

2-5. エージェント通信のセキュリティに関する文脈で、「ディスクリプション・ポイズニング(Description Poisoning)」とはどのような攻撃ですか?

  • A.エージェントが使用する外部ツール自体に悪意のあるコードを埋め込み、実行時にシステムを乗っ取る攻撃。
  • B. エージェントの長期記憶に偽の情報を注入し、将来の意思決定を誤らせる攻撃。
  • C. 大量のタスク要求を中央サーバーに送りつけ、サービスを停止させる攻撃。
  • D. 攻撃者がエージェントの能力記述を改ざんし、その意図された機能を偽装したり、誤解を招く指示を埋め込んだりして、システムの解釈を操作する攻撃。

2-6. Anemoiマルチエージェントシステムのアーキテクチャの最も顕著な特徴は何ですか?

  • A. 一人の強力なプランナーがすべてのタスクを分解し、ワーカーに一方的に指示を出す完全中央集権的な構造。
  • B. すべてのワーカーエージェントが同一の能力を持ち、タスクを競合して解決する競争的構造。
  • C. プランナーエージェントが初期計画を提示するが、ワーカーエージェント同士がA2A通信を介して直接議論し、計画を修正できる半中央集権的な構造。
  • D. すべてのエージェントが完全に独立して動作し、中央のプランナーが存在しない完全分散型構造。

2-7. エージェント通信におけるセキュリティ脅威の分類

LLMベースのマルチエージェントシステムにおけるセキュリティ脅威は、通信フェーズによってユーザー-エージェント(U-A)、エージェント-エージェント(A-A)、エージェント-環境(A-E)の3つに分類されます。以下の組み合わせのうち、A-E通信(エージェントが外部リソースや知識にアクセスする際)に特に関連するセキュリティリスクとして最も適切なものはどれですか。

  • A. Agent Spoofing(エージェント詐称)Task Flooding(タスク氾濫):主にエージェントがユーザーに代わって行動する際の身元詐称とサービス妨害を指す。
  • B. Execution of Malicious and Harmful Tasks(悪意ある有害なタスクの実行)Violation of User Privacy(ユーザープライバシーの侵害):主に妥協したエージェントが悪意のあるユーザーに対して行うリスクである。
  • C. Knowledge Corruption/Poisoning(知識の汚染/ポイズニング)Memory Injection/Extraction(メモリの注入/抽出):悪意のある外部データソースや環境がエージェントの知識ベースや内部メモリに影響を与えたり、機密情報を引き出したりするリスクである。
  • D. Description Poisoning(記述のポイズニング):悪意のあるエージェントが自身の能力記述を改ざんし、クライアントエージェントの選択ロジックを操作する行為

3. 短縮版論文解説

ここからは上のテストで出てきた概念についてそれぞれの論文を元に解説していきます。

3-1. COALESCE

BHATT, Manish, et al. Coalesce: Economic and security dynamics of skill-based task outsourcing among team of autonomous llm agents. arXiv preprint arXiv:2506.01900, 2025.

COALESCE(Cost-Optimized and Secure Agent Labour Exchange via Skill-based Competence Estimation)は、LLM(大規模言語モデル)ベースの自律エージェントの運用コストとリソース利用を最適化するために開発されたフレームワークです。

COALESCEは、クライアントエージェントが複雑なタスクをローカルで実行するか、より専門的で費用対効果の高い外部のコントラクター(Contractor)エージェントにアウトソーシングするかを動的に決定するための構造化されたアプローチです。

項目 概要
目的 GPUリソースの計算負荷と高コストを最適化するため、タスクの動的なアウトソーシングを可能にする。
中核機能 1. タスク分解:大きなタスクをサブタスクに分解する。2. コストモデル:内部実行コストと外部委託コスト(価格、遅延、リスクを含む)を比較する統一コストモデルを定義する。3. 意思決定:スキル適合性とコスト効率に基づき、TOPSISなどの**多基準決定分析(MCDA)**アルゴリズムを使用して最適な委託先を選択する。
スキル連携 エージェントの能力は、A2AプロトコルのAgent Cardなどの標準化されたJSON形式を含むハイブリッドスキル表現モデル(オントロジーベースと埋め込みベース)によって表現・発見される。
市場探索 \epsilon-グリーディ探索メカニズムを組み込み、既知のコントラクターの利用(活用)と新しいコントラクターの発見(探索)のバランスを取る。これにより、実世界でのコスト削減効果が大幅に向上することが実証されている。
通信基盤 エージェント間の通信プロトコルとして、タスクの委任とライフサイクル管理を標準化するGoogleのA2Aプロトコルの利用を想定している。COALESCEは、A2A通信の上に経済的意思決定レイヤーを追加する。
実証結果 実際のLLMタスク(240件)を用いた検証では、適切な探索メカニズムにより20.3%のコスト削減が確認された。

COALESCEは、LLMエージェントがコスト、スキル、信頼性、セキュリティリスクなどの多角的な要素を考慮に入れて、タスクをインテリジェントにアウトソーシングできるようなAIワークロードを目指しています。

3-2. Description Poisoning

KONG, Dezhang, et al. A survey of llm-driven ai agent communication: Protocols, security risks, and defense countermeasures. arXiv preprint arXiv:2506.19676, 2025.

Description Poisoningとは、LLMベースのマルチエージェントシステムにおけるセキュリティリスクの一つです。
これは、攻撃者がエージェントの能力記述(Capability Description)やメタデータ(特にA2AプロトコルにおけるAgent Carddescriptionフィールドなど)を改ざんし、悪意のあるプロンプト命令を埋め込む行為を指します。

この攻撃は、他のエージェント(クライアントエージェント)が、発見やタスク委任の際に、この改ざんされた記述を「信頼できる入力」として取り込み、自身の推論(Planning)プロセスで処理する際に発動します。結果として、エージェントはハイジャックされ、下のような問題などが引き起こされます。

  • 誤ったルーティング決定(例:悪意のあるエージェントを優先的に選択する)
  • 機密データの漏洩
  • プロトコルのバイパス

これは、エージェント間の通信カテゴリのうち、主に A-A通信 におけるCSベース(クライアント/サーバーベース)の脅威であり、外部知識ベースに悪意のあるテキストを注入するRetrieval Poisoningや、ツールメタデータを標的とするTool Poisoningと類似のメカニズムを持ちます。

対策としては、Agent Cardにデジタル署名を施して改ざんを検知することや、入力検証とサニタイズを徹底し、外部コンテンツを信頼できない入力として扱うことなどが挙げられます。

3-3. Anemoi

REN, Xinxing, et al. Anemoi: A Semi-Centralized Multi-agent System Based on Agent-to-Agent Communication MCP server from Coral Protocol. arXiv preprint arXiv:2508.17068, 2025.

Anemoiは、従来のLLM(大規模言語モデル)ベースのマルチエージェントシステム(MAS)が抱える中央プランナー(計画担当エージェント)への過度な依存と、エージェント間の直接的なコミュニケーションの不足という問題を克服するために提案された半集権的(Semi-Centralized)なフレームワークです。

1. 中核となる構成要素とプロトコル

Anemoiは、Coral ProtocolのA2A通信MCPサーバーを基盤として構築されています。

  1. プランナーエージェント (Planner Agent):タスクの実行開始時に初期計画(\pi_0)を生成し、ワーカーエージェント間の調整を開始する役割を担います。
  2. ワーカーエージェント (Worker Agents):ウェブ検索(Web Agent)、文書処理(Document Processing Agent)、推論・コーディング(Reasoning & Coding Agent)など、特定の専門分野を担当します。
  3. 批評エージェント (Critique Agent):他のエージェントの貢献を継続的に評価し、発言や結論の妥当性を判断します。
  4. A2A通信MCPサーバー:すべてのエージェントがこのサーバーを経由して接続され、構造化されたスレッドベースの通信チャネルが提供されます。各エージェントは、このサーバーが提供するMCPツールキットを通じて、進捗状況の監視、ボトルネックの特定、アイデアの提案を自由に行うことができます。

2. 半集権的なコミュニケーションパターン

Anemoiの特徴は、初期計画をプランナーが立てた後、ワーカーエージェントがA2A通信を通じて直接連携する点にあります。

  • 初期化と委任:プランナーは専用の通信スレッド(\tau)を作成し、初期計画(\pi_0)を参加者全員にブロードキャストし、ワーカーにサブタスク(\phi)を割り当てます。
  • 動的な協調:ワーカーはサブタスクを実行する中で、結果を生成し、批評エージェントがそれを評価します。全参加エージェントは進捗状況を監視し、プランナーに依存せずに、新しい提案や修正案をスレッドに投稿できます。
  • 利点:このパラダイムにより、単一のプランナーモデル(例えば、GPT-4.1-miniのようなスモールLLM)への依存度が低下し、より強力なオープンソースのベースラインを上回る高いパフォーマンスを達成しています。また、コンテキストの冗長な受け渡しが最小限に抑えられ、実行時の効率とスケーラビリティが向上します。

このアーキテクチャは、エージェントが主体的に関与するマルチエージェントディベートを可能にし、タスクの実行中にリアルタイムで計画を調整する適応的な計画修正をサポートします。

問題の解答(論文解説を読んで理解できた人は読まなくてもOK)

Geminiに解いてもらい、解説も付けてもらいました。

2-1. A2AプロトコルとMCP(Model Context Protocol)の主な違いは何ですか?

選択肢: C

解説:

A2A(Agent-to-Agent)プロトコルとMCP(Model Context Protocol)は、競合するものではなく、相互に補完的な役割 を果たすフレームワークとして位置づけられています。

  • A2Aの焦点 (水平的連携): A2Aは、異なるAIエージェント間の相互運用性 を可能にすることを目的としており、エージェント間のコラボレーション、委任、メッセージングに焦点を当てています。これは、エージェントネットワーク通信における 水平的な統合 の役割を果たします。
  • MCPの焦点 (垂直的統合): MCPは、AIモデルやエージェントが 外部のツールやデータソースに接続するための標準化 を目的としています。MCPの役割は、エージェントが外部リソースにアクセスさせ、またエージェントにコンテキストを与えることであり、エージェントの能力を強化する 垂直的な統合 を提供します。

したがって、A2Aが**エージェント同士の連携(水平的)を担うのに対し、MCPはエージェントと外部リソース(ツール/データ)の連携(垂直的)**を担う、という点が主な違いです。

2-2. A2Aプロトコルにおける「エージェントカード(Agent Card)」の主な目的は何ですか?

選択肢: B

解説:

エージェントカード(Agent Card)は、A2Aプロトコルにおける主要なメカニズムの一つであり、エージェントの**発見(Discovery)**を可能にするためのものです。

  • エージェントカードは、エージェントのメタデータを定義するJSON形式の文書として公開されます。
  • このカードには、エージェント名、バージョン、サポートされている能力、エンドポイントURL、および認証スキームなどの情報が記載されています。
  • クライアントエージェントは、エージェントカードを通じて他のエージェントの能力を動的に発見し、特定のタスクに最適なリモートエージェントを特定して交渉することができます。

したがって、その主な目的は、エージェントの能力、エンドポイントURL、認証要件などを記述した標準化されたメタデータを提供し、他のエージェントによる発見を可能にすることです。

2-3. COALESCEフレームワークは、LLMエージェントシステムにおけるどの主要な課題に対処するために設計されましたか?

選択肢: B

解説:

COALESCEフレームワークは、LLMエージェントの展開が、特にGPUリソースに関連する高い計算要求と運用コストによって制約されているという課題に対処するために導入されました。

  • このフレームワークは、リソース利用の最適化という重要な問題に対処するために設計されました。
  • クライアントエージェントが、計算コストが高い、または不足している特殊なスキルが必要なサブタスクを特定し、コスト効率の高いサードパーティのLLMエージェントに動的にアウトソーシングできるようにすることを目的としています。
  • COALESCEは、能力マッチングとGPUなどの高コストなリソースの最適化という両方のニーズに基づいて、効率的で動的なアウトソーシングを可能にします。

2-4. COALESCEフレームワークの主な目的と、その実証結果に関する記述として最も適切なものはどれですか。

選択肢: B

解説:

COALESCEフレームワークは、LLMエージェントがタスクを内部で実行するか、外部のコントラクターエージェントに動的にアウトソーシングするかを決定するための構造化されたアプローチを提供することを目的としています。

  • 目的: クライアントエージェントは、タスクをローカルで実行する場合のコストと、外部エージェントにアウトソーシングする場合の外部委託価格、遅延、信頼性、セキュリティなどを考慮した多基準コストモデルに基づいて、動的な決定を下します。
  • 実証結果とメカニズム: 大規模な実証評価では、フレームワークが適切なイプシロン・グリーディ探索を用いることで、20.3%のコスト削減を達成したことが確認されています。これは、動的なアウトソーシング決定に探索メカニズムが組み込まれていることを示しています。

したがって、LLMエージェントが複雑なサブタスクを外部のコントラクターエージェントに動的にアウトソーシングするかどうかを決定し、適切な探索メカニズムを用いる、という記述が最も適切です。

2-5. エージェント通信のセキュリティに関する文脈で、「ディスクリプション・ポイズニング(Description Poisoning)」とはどのような攻撃ですか?

選択肢: D

解説:

「ディスクリプション・ポイズニング(Description Poisoning)」は、エージェントが自身の能力や役割を他のエージェントに広告する際に使用するメタデータを悪用する攻撃です。

  • 定義: 攻撃者がエージェントの能力記述を改ざんし、意図された機能を偽装したり誤解を招くプロンプト指示を埋め込んだりします。
  • 目的: この攻撃は、エージェントのID自体を変更することなく実行され、システムのエージェント選択ロジックやルーティング決定を操作し、不正な応答や動作を引き起こすことを目的としています。
  • 具体例: A2Aプロトコルでは、この種の攻撃はPoisoned AgentCardとして知られています。攻撃者は、エージェントカードのフィールド(スキルID、名前、記述、タグなど)にプロンプトインジェクション技術を使用して悪意のある指示を埋め込みます。その結果、他のエージェントが発見プロセスや対話フローの一環としてこの情報を自動的に取り込んで処理する際に、隠された指示が実行され、エージェントの目標が乗っ取られる可能性があります。実際に、実験では、A2Aクライアントが、悪意のあるエージェントのAgent Cardに記述された「最も機能豊富なエージェント」であるという記述や指示によって、そのエージェントを優先的に選択するように誘導されることが示されています。

したがって、攻撃者がエージェントの能力記述を改ざんし、システムの解釈を操作する、という記述が最も適切です。

2-6. Anemoiマルチエージェントシステムのアーキテクチャの最も顕著な特徴は何ですか?

選択肢: C

解説:

Anemoiは、従来のMAS(マルチエージェントシステム)が抱えていた、プランナーエージェントの能力に強く依存し、エージェント間の通信が一方向のプロンプト受け渡しに限定されるという課題を解決するために提案されました。

  • アーキテクチャ: Anemoiは、Coral ProtocolのA2A通信MCPサーバー上に構築された半集中型MASを採用しています。
  • 通信パターン: 従来のシステムでは「コラボレーション」がプロンプトの連結に過ぎませんでしたが、Anemoiではプランナーエージェントが初期計画を生成した後、A2A通信MCPサーバーを介してすべてのエージェントがタスクの進行状況を監視し、結果の評価、ボトルネックの特定、およびリアルタイムでの計画の修正提案を行う構造化された直接的なエージェント間コラボレーションを可能にします。
  • 効果: この半集中型のパラダイムとA2A通信の活用により、Anemoiは弱いLLM(GPT-4.1-mini)をプランナーに使用した場合でも、強力なベースラインを上回る精度を達成しています。

したがって、プランナーが初期計画を提示しつつ、ワーカーエージェントがA2A通信を介して直接議論し、計画を修正できる半中央集権的な構造が最も顕著な特徴です。

2-7. エージェント通信におけるセキュリティ脅威の分類

選択肢: C

解説:

エージェント-環境(A-E)通信は、エージェントが外部のデータストア、ツール、または知識ベースと対話する際に発生し、悪意のある環境やデータソースから良性のエージェントが攻撃を受けるリスクに焦点を当てています。

  • Knowledge Corruption/Poisoning(知識の汚染/ポイズニング): RAG(検索拡張生成)システムなどの外部知識ストアが標的となる攻撃です。悪意のある文章やデータポイントが知識ベースに注入され(知識汚染)、エージェントがそれを取得した際に誤った情報や有害なコンテンツに基づいて応答するよう誘導されます。
  • Memory Injection/Extraction(メモリの注入/抽出): A-E通信におけるメモリ関連のリスクは、エージェントのメモリ(短期または長期)が外部ソースによって侵害されることを指します。
    • 注入 (Injection): 外部からの自然な対話を通じて悪意のあるコンテンツがエージェントのメモリに記録される(メモリインジェクション)攻撃。
    • 抽出 (Extraction): 悪意のあるクエリを使用して、エージェントがログに記録した認証トークンやプライベートファイルパスなどの機密情報を、明示的なクエリなしに、メモリから引き出す(メモリ抽出)攻撃。

これらの攻撃(知識汚染、メモリ注入/抽出)は、悪意のある外部データソースや環境がエージェントの知識ベースや内部メモリに影響を与えたり、機密情報を引き出したりするA-E通信の典型的なリスクとして、ソースで明確に分類されています。

他の選択肢の分類:

  • A. Agent Spoofing(エージェント詐称)Task Flooding(タスク氾濫):これらは主にエージェント間通信(A-A)、特に集中型サーバーに基づく通信(CS-based Communication)のリスクとして分類されています。
  • B. Execution of Malicious and Harmful Tasks(悪意ある有害なタスクの実行)Violation of User Privacy(ユーザープライバシーの侵害):これらは主に、侵害されたエージェントが良性のユーザーに対して行うリスク(U-A/A-Aの二次的な影響)として分類されています。
  • D. Description Poisoning(記述のポイズニング):これは主に、エージェントの能力記述を改ざんすることで他のエージェントの選択ロジックを操作する、エージェント間通信(A-A)のリスクとして分類されています。
ヘッドウォータース
ヘッドウォータース

株式会社ヘッドウォータースのテックブログです。 AIエージェント、生成AI、LLM、Azureのサービスや資格、IoT、XR系などData&AIとApp modernizeに関して幅広く投稿します!

Discussion