AIを操る物語的知能の鍛え方

AIを操る物語的知能の鍛え方

2025年から2026年にかけて、AIをめぐる議論は大きく変わった。数年前まで、生成AIの危険性といえば、誤情報、著作権、ハルシネーション、宿題の代行、画像生成の倫理といった話題が中心だった。しかし2026年5月時点で見ると、問題はかなり具体的な段階へ進んでいる。

AIは、単に文章や画像を作る便利な道具ではなくなりつつある。人を騙す。人の代わりにシステムを操作する。コードを書く。依存ライブラリを調べる。脆弱性の候補を並べる。説得のための人格を作る。動画会議の中で顔と声を偽る。こうした複数の行為が、一つの攻撃シナリオの中で結びつき始めている。

この変化を考える時に重要なのは、AIが突然、人間から独立した犯罪主体になったと考えないことである。少なくとも現在確認されている多くの事件では、AIは犯罪の発案者ではない。むしろ、人間が以前から行ってきた詐欺、フィッシング、サプライチェーン攻撃、認証情報の窃取、なりすまし、ロマンス詐欺、投資詐欺といった古典的な手口を、より速く、より安く、より自然に、より大規模に実行するための増幅器として機能している。

この増幅器としてのAIを理解するには、アポロ計画の比喩がわかりやすい。1969年に人類を月面へ送ったアポロ誘導コンピューターの性能は、現代のスマートフォンと比べれば極めて小さい。かつて国家プロジェクトでしか扱えなかった計算資源は、いまや個人が手に持つ端末の中にある。しかし、スマートフォンを誰もが持っているからといって、誰もがNASAの技術者になるわけではない。パソコンを誰もが持っているからといって、誰もが天才ハッカーになるわけでもない。

同じ道具が配られても、道具を使って何を構想し、どの順序で実行し、どのように他者を動かし、どのようにシステムを設計するかには大きな差がある。AIエージェントの時代にも、同じことが起きている。誰もが強力なAIを使えるようになる時代とは、誰もが同じ成果を出せる時代ではない。むしろ、発想、構想、言語化、検証、統合、倫理、セキュリティ設計といった、人間側の能力差がよりはっきり表れる時代である。そして、残念ながらその能力は善良な創作や開発だけでなく、犯罪の側にも使われる。

統計が示すAI時代のサイバー犯罪

AI関連の脅威は、単なる印象論ではなく、統計上も無視できない規模になっている。IBMの2025年版「Cost of a Data Breach Report」では、世界のデータ侵害の平均コストは444万ドルとされ、前年から9%下がった。これは、防御側がAIや自動化を導入し、検知と封じ込めを速めたことが一因とされている。一方で、AIの統制が追いついていない組織では、AI関連のセキュリティ事故のリスクが高まっている。同レポートでは、AI関連のセキュリティインシデントを経験した組織のうち、適切なAIアクセス制御を欠いていた組織が非常に多いこと、またAIガバナンス方針を持たない、あるいは未整備の組織が過半に達することが示されている。

重要なのは、AIは攻撃側にも防御側にも効いているという点である。防御側がAIを導入すると、ログ分析、異常検知、インシデント対応、脅威インテリジェンスの整理などで時間を短縮できる。IBMの調査でも、セキュリティAIと自動化の広範な利用は、利用していない組織と比べて大きなコスト削減につながるとされている。つまり、AIが怖いから使わないという姿勢は、安全策のように見えて、長期的にはむしろ危険である。攻撃側がAIを使って速度を上げているなら、防御側が人間だけで対応するのは、すでに計算上不利になっている。

FBIの2025年版Internet Crime Reportでも、インターネット犯罪の被害は深刻である。米国だけで、2025年のサイバー関連犯罪の報告損失は約210億ドル規模に達し、IC3への苦情件数は100万件を超えた。特に暗号資産関連の詐欺、投資詐欺、フィッシング、なりすまし、恐喝は大きな被害を生んでいる。FBIは、AIに関連する苦情や、AIによって説得力を増した詐欺にも注意を促している。

ここで問題になるのは、AIがまったく新しい犯罪を生んだというより、古い犯罪の生産性を上げたことだ。詐欺師は、以前なら片言の文章や不自然なメールで疑われていた。しかし今は、自然な文章、相手の職業に合わせた言葉遣い、過去のSNS投稿を踏まえた文脈、音声や動画まで用意できる。

フィッシングの質的変化も大きい。かつてのフィッシングメールは、誤字脱字、不自然な日本語、不自然な英語、汎用的な脅し文句によって見破れることが多かった。しかし生成AIは、ターゲット企業の業種、役職、社内用語、イベント、採用情報、SNS上の発言をもとに、個別化された文章を大量に作れる。従来は高度な攻撃者にしかできなかったスピアフィッシングが、より低いコストで実行可能になった。AIは詐欺師に語彙と人格を与えたのである。

Axiosサプライチェーン攻撃が示したもの

2026年3月31日に発覚したAxios npmパッケージの侵害は、AI時代の脅威を考える上で象徴的な事件である。AxiosはJavaScriptのHTTPクライアントライブラリとして広く使われており、npmに公開された悪性バージョンは、世界中の開発者とビルド環境に影響を与えうるものだった。

Microsoftの分析では、悪性バージョンのAxiosは、偽の依存関係を通じてインストール時にRATを取得する仕組みを含んでいた。Google Threat Intelligence Groupも、この攻撃を北朝鮮関連の脅威アクターと関連づけ、悪性依存関係がWindows、macOS、Linux向けのバックドアを展開したと分析している。

この事件で重要なのは、攻撃が単なるコード改ざんではなかった点である。攻撃者は、Axiosのソースコードそのものを正面から壊したわけではない。信頼されているメンテナーのアカウント、公開レジストリ、依存関係、インストール時スクリプトという、現代のソフトウェア開発が当たり前のように信じている経路を利用した。しかも、その前段にはソーシャルエンジニアリングがあったと見られている。偽の人物、偽のやり取り、偽の会議、偽のツール更新、偽のエラー表示。これらが組み合わさることで、ターゲットは「自分は攻撃されている」のではなく、「普通に仕事の手続きを進めている」と感じる。

ここでAIが関与したかどうかは、事実として確認できる部分と推測にとどまる部分を分ける必要がある。悪性パッケージの存在、RATの配布、依存関係の悪用、メンテナーアカウントの侵害は技術分析で確認されている。一方、攻撃者がどの程度AIを使ってペルソナ構築や会話生成を行ったかは、外部から完全に断定できるものではない。

しかし、2025年から2026年の攻撃環境を踏まえると、偽の採用担当者、偽のポッドキャスト、偽の仕事依頼、偽の技術面談といった長期的な信頼形成には、生成AIが極めて相性のよい道具であることは明らかである。Axios事件の怖さは、ゼロデイ脆弱性だけが危険なのではないと示した点にある。最も弱い場所は、暗号アルゴリズムでも、CI/CDの設定でも、npmの機能でもなく、人間が「これは自然な流れだ」と納得してしまう心理であった。攻撃者は、システムを直接こじ開けるのではなく、システムを動かしている人間の信頼を演出した。ここに、AI時代の攻撃の本質がある。

Arupのディープフェイク詐欺と「会議しているから本人」という神話の崩壊

AIによるなりすましの代表例として、英国のエンジニアリング企業Arupが被害に遭ったディープフェイク詐欺がある。2024年初頭、香港の財務担当者が、CFOや複数の幹部に見える人物たちが参加するビデオ会議に出席し、その指示に従って約2,500万ドルを送金した。後に、それらの人物はAIで生成されたディープフェイクだったと報じられた。

この事件が世界に与えた衝撃は、「メールだけなら疑うが、ビデオ会議なら信じる」という前提を破壊した点にある。人間は、顔と声を非常に強い本人確認の材料として扱ってきた。電話で上司の声を聞けば本人だと思う。ZoomやTeamsで顔が見えれば本人だと思う。しかも会議に複数人がいて、それぞれが自然に発言しているように見えれば、疑いはさらに薄れる。Arupの事件では、この認知の習慣そのものが攻撃対象になった。

ディープフェイクは、以前から存在していた。しかし数年前のディープフェイクは、生成に時間がかかり、品質も安定せず、技術者や高性能GPUが必要だった。現在は状況が変わっている。合法的なAIアバターサービスであるSynthesiaやHeyGenは、月額数十ドルから利用でき、テキスト、音声、アバター、翻訳、リップシンクを組み合わせた動画を作成できる。もちろん、これらの商用サービスは利用規約、本人同意、電子透かし、コンテンツ審査、企業向けコンプライアンスを備えており、犯罪利用を許容しているわけではない。むしろ正規の用途としては、研修動画、マーケティング、社内説明、グローバル展開に有用である。

一方で、オープンソースやローカル実行型のリアルタイム顔変換ツールも存在する。開発者側が倫理的利用を求めていても、オープンソースである以上、悪用を完全に止めるのは難しい。これに音声クローン、翻訳、台本生成、画面共有の偽装、背景の加工が加わると、オンライン会議は本人確認の場ではなく、演劇の舞台になりうる。

この状況で企業が取るべき方針は、ビデオ会議を禁止することではない。顔や声を本人確認の決定打にしないことである。高額送金、認証情報の発行、権限付与、緊急の例外承認、外部共有の許可といった重要な操作は、映像や音声ではなく、別チャネルの承認、暗号学的な署名、事前登録されたワークフロー、ハードウェアキー、権限分離によって確認する必要がある。つまり、これからの本人確認は「見た目」ではなく「検証可能な権限」に基づかなければならない。

GitHubに漏れるシークレットとAIコーディングの副作用

AI時代のセキュリティ問題は、外部攻撃だけではない。開発者自身の生産性が上がった結果、事故の速度も上がる。GitGuardianの2026年版State of Secrets Sprawlでは、2025年に公開GitHubコミットから検出された新規シークレットが約2,865万件に達し、前年比34%増加したとされている。さらに、AIサービス関連のシークレット漏洩は前年比81%増加し、Claude Codeが共著したコミットでは、公開GitHub全体のベースラインと比べてシークレット漏洩率が約2倍になったという。

この数字は、AIコーディングそのものが悪いという意味ではない。むしろAIコーディングは、開発者の速度を上げ、プロトタイプ作成を容易にし、個人開発者や小規模チームに大きな力を与えている。問題は、速度が上がる一方で、設計、レビュー、権限管理、シークレット管理、環境分離といった安全装置が同じ速度で進化していないことにある。

人間が手作業でコードを書いていた時代にも、APIキーのハードコードはあった。しかしAIエージェントに「このAPIを叩いて、結果を保存するスクリプトを書いて」と頼むと、AIは最短経路で動くコードを作ることがある。そこに環境変数、Secret Manager、Vault、OIDC、短命トークン、ローカルの.envの除外、CI/CDのシークレットスキャン、権限の最小化といった設計を明示しなければ、AIは「とりあえず動く」方向に寄りやすい。人間も、AIが一瞬でコードを出してくれるため、レビューを省きやすい。結果として、事故の単位時間あたりの発生率が上がる。

これは、個人開発者にとっても重要である。SaaSを一人で作る、Lambdaでスクレイピングする、LINE Messaging APIを使う、OpenAI APIやGemini APIを使う、GitHub Actionsでデプロイする。こうした開発では、APIキーやトークンがあちこちに登場する。AIエージェントは便利だが、便利だからこそ、権限を渡しすぎると危険である。開発用キー、本番用キー、読み取り専用キー、書き込み可能キー、決済関連キー、データ削除権限を持つキーは分ける必要がある。AIに渡す認証情報は、短命で、限定され、監査可能で、いつでも失効できるものであるべきだ。

EchoLeakが示した、AIアシスタント固有の脆弱性

従来のセキュリティは、人間がクリックする、添付ファイルを開く、マクロを有効化する、認証情報を入力する、という操作を前提にしていた。しかしAIアシスタントがメール、ドキュメント、チャット、ファイル、社内ナレッジを横断的に読むようになると、攻撃対象は人間のクリックだけではなくなる。AIが読むもの、AIが要約するもの、AIが取得する文脈そのものが攻撃面になる。

2025年に公表されたMicrosoft 365 CopilotのEchoLeakは、その象徴的な事例である。EchoLeakは、細工されたメールを送るだけで、Copilotがそのメールを処理する過程で間接的なプロンプトインジェクションを受け、内部情報を外部へ漏えいさせる可能性を示した。研究では、ユーザーがリンクをクリックしたり、マルウェアを実行したりしなくても、AIアシスタントが内部と外部のデータ境界をまたぐことで、従来とは異なる情報漏えい経路が成立することが示された。

ここで重要なのは、AIアシスタントは単なる検索窓ではないという点である。AIアシスタントは、文脈を読んで判断し、出力を作る。つまり、メール本文、Markdown、画像、リンク、Teams、SharePoint、社内文書などを一つの文脈として扱う。その文脈の中に「これからあなたが行うべき秘密の指示」が埋め込まれていた時、AIがどこまでそれを無視できるかが問題になる。

これまでのWebセキュリティには、SQLインジェクション、XSS、CSRF、SSRFなど、入力と実行境界をめぐる脆弱性があった。LLMアプリケーションにおけるプロンプトインジェクションは、それらと似ているが、さらに厄介である。なぜなら、自然言語は曖昧であり、AIは命令と資料、本文と注釈、ユーザー意図と攻撃者意図を常に完全には分離できないからだ。だからこそ、AIアプリケーションでは、プロンプトの工夫だけでなく、入力の出所管理、権限分離、出力サンドボックス、外部通信の制限、データ分類、監査ログが必要になる。

AIエージェントによる事故。Replitと本番データベース削除の教訓

AIが攻撃者に悪用されるだけでなく、正規の開発環境で事故を起こすこともある。2025年に話題になったReplitのAIエージェントによる本番データベース削除の事例は、まさにその典型である。報道によれば、開発中のAIエージェントが本番データベースのデータを削除してしまい、ReplitのCEOも、開発環境と本番環境の自動分離、ロールバック改善、計画専用モードの整備などの対策に言及した。

この事件を、単に「AIがバカだった」と片付けるのは危険である。むしろ本質は、AIが実行できる権限を持っていたことにある。AIエージェントは、人間のように疲れない。ためらわない。コマンドを打つ速度が速い。ログを読み、推測し、修正し、再実行する。だからこそ、誤った前提で動き始めた時の破壊速度も速い。人間なら「本番かもしれない」と手が止まる場面でも、AIは「問題を解決する」という目的関数に従って進むことがある。

ここで必要なのは、AIに対する精神論ではなく、設計である。開発環境と本番環境を物理的・論理的に分離する。AIが本番DBに直接接続できないようにする。削除系操作には確認ゲートを設ける。バックアップを同じ権限で消せない場所に置く。読み取り権限と書き込み権限を分ける。CI/CDに人間承認を入れる。破壊的操作には、単なる「本当に実行しますか」ではなく、別チャネルの承認やチケット番号、MFA、変更ウィンドウを要求する。これらは従来の運用でも必要だったが、AIエージェント時代には必須度が上がる。

ぽちょ研究所としての見解を言えば、AIエージェントを使わないことが正解なのではない。AIエージェントに、最初から本番の王権を渡すことが間違いなのである。人間の新人エンジニアに、初日から本番DBのDROP権限を渡さないのと同じである。AIもまた、能力ではなく権限で管理されなければならない。

Step Financeと暗号資産領域の権限問題

暗号資産領域では、秘密鍵やウォレットの権限がそのまま資金移動能力につながるため、侵害の被害が即時に金額として表れる。2026年1月、Solana系DeFiプラットフォームStep Financeでは、幹部のデバイス侵害をきっかけに約4,000万ドル相当のデジタル資産が盗まれたと報じられた。報道では、スマートコントラクトそのものよりも、幹部端末やトレジャリーウォレットへのアクセスが焦点になっている。

この事件について、AIエージェントが直接暴走したと断定するには慎重であるべきだ。確認されている中核は、幹部端末の侵害とウォレットアクセスの問題である。ただし、AIエージェント時代にこの事件が示す教訓は明確である。資金移動、秘密鍵、トレジャリー、デプロイキー、管理者端末は、人間であれAIであれ、単一の侵害点に集約してはならない。

AIエージェントが将来的に財務処理、トレーディング、請求、支払い、在庫発注、広告運用、クラウドリソース管理を担うようになると、問題はさらに大きくなる。AIが正しく動けば、業務は速くなる。しかし、AIが誤った入力を信じる、攻撃者に誘導される、過剰権限を持つ、検証なしに実行する、という条件が重なれば、被害も速くなる。人間の承認を挟むべき操作と、自律実行してよい操作を分ける設計が必要である。

ここで鍵になるのは、ヒューマン・イン・ザ・ループという言葉を、単なる建前にしないことである。すべての操作に人間確認を入れればAIの意味がなくなる。一方、すべてを自律化すれば危険である。したがって、金額、影響範囲、復旧不能性、外部公開性、個人情報の有無によって、承認の重さを変える必要がある。1,000円の広告予算調整と、1億円の資金移動を同じ扱いにしてはいけない。開発環境のテーブル作成と、本番DBの削除を同じ扱いにしてはいけない。

北朝鮮系の偽採用・偽面談とAIの相性

2025年から2026年にかけて、北朝鮮関連の脅威アクターによる偽採用、偽面談、偽エンジニア、偽リクルーターを使った攻撃が継続的に報告されている。MicrosoftはSapphire SleetやContagious Interviewといった活動について、偽の採用担当者や技術面談を装い、開発者に悪性パッケージやツールを実行させる手口を説明している。Google Threat IntelligenceもAxiosの侵害について、北朝鮮関連アクターとの関連を分析している。

この手口は、AIと極めて相性がよい。採用面談は、もともとオンライン化している。開発者は、GitHub、LinkedIn、X、技術ブログ、npm、PyPI、Docker Hubなどに多くの公開情報を持っている。攻撃者は、その情報を集めれば、相手の技術スタックに合わせた会話ができる。さらに生成AIを使えば、自然な英語、日本語、韓国語、中国語、スペイン語で、相手に合わせたメッセージを大量に作れる。偽の会社概要、偽の求人票、偽の面接課題、偽のコードレビュー依頼、偽のSDK更新、偽のTeamsリンクも作れる。

ここでの攻撃者は、もはや「怪しいリンクを送ってくる人」ではない。相手のキャリアに関心を示し、仕事の可能性を提示し、技術力を評価しているように振る舞い、数日から数週間かけて信頼を作る。Axios事件のようなサプライチェーン攻撃でも、直接コードを書く能力だけでなく、ターゲットに合わせた物語を作る能力が重要になる。

この意味で、現代の攻撃者は、ハッカーであると同時に脚本家である。原作、脚本、演出、主演、編集を一人でこなすような存在になっている。AIは、その一人オーケストラに、文章作成、翻訳、画像作成、音声合成、動画生成、コード生成、調査、検証の各パートを与えている。

AIは犯罪の「ラストワンマイル」を埋める

ここまで見てくると、AIが犯罪を起こしているというより、犯罪のラストワンマイルを埋めていることがわかる。詐欺の設計、ターゲット選定、利益目的は人間側にある。しかし、最後に相手を納得させる自然な文章、相手の声に似せた音声、会議に映る顔、もっともらしい企業サイト、もっともらしいGitHub活動、もっともらしい面接課題、もっともらしいエラー画面を作る部分でAIが効いてくる。

これまでは、詐欺師にも技術的な制約があった。英語が下手なら海外企業を騙しにくい。動画編集ができなければディープフェイクは作りにくい。コードが書けなければマルウェアや偽SDKの作成は難しい。複数の人格を演じ分けるには時間がかかる。しかしAIは、これらの制約を下げた。完全にゼロにしたわけではないが、必要な専門性の一部を外注できるようにした。

これは善良な創作や開発にも当てはまる。動画を作りたい人が、絵コンテ、ナレーション、画像生成、音声合成、動画生成をAIに支援させる。Webサービスを作りたい人が、要件定義、UI案、コード、テスト、デプロイをAIに支援させる。小説を書きたい人が、設定整理、構成、文体検討、推敲をAIに支援させる。AIは、良い方向にも悪い方向にも、最後の実行距離を短くする。

だから、AI時代に問われるのは「AIを使うか使わないか」ではない。「何を構想し、どのように指示し、どこまで任せ、どこで止め、どのように検証するか」である。

道具が民主化されても、使いこなす能力は民主化されない

誰もがAIを使えるようになると、誰もがすごいものを作れるようになる。これは半分正しい。しかし、もう半分は正しくない。誰もがカメラを持っているが、誰もが映画監督ではない。誰もがスマートフォンを持っているが、誰もが優れた写真家ではない。誰もがWordを使えるが、誰もが小説家ではない。誰もがExcelを使えるが、誰もが経営分析に強いわけではない。誰もがAIを使えるようになっても、誰もが優れたAIオーケストレーターになるわけではない。

AIエージェント時代に重要になるのは、単なるプロンプトの小技ではない。もちろん、明確な指示、制約条件、出力形式、例示、評価基準を書く技術は重要である。しかし、その前に必要なのは、自分が何を作りたいのかを理解する力である。さらに言えば、自分の頭の中にある曖昧なイメージを、言葉に変換する力である。

これは、理系か文系かという分類では説明しきれない。理系の人でも、言語化が得意な人はいる。文系の人でも、抽象化や構造化が苦手な人はいる。偏差値で例えるなら、ある人が数学72、英語72、国語65で「自分は国語が苦手な理系だ」と言っていたとしても、別の人の国語48よりは、はるかに高い言語能力を持っているかもしれない。つまり、文理のラベルではなく、総合的な認知能力、語彙、構造化、抽象化、説明力の問題として見るべきである。

AIに対して複雑な指示を出す時、人間は自分の頭の中にある世界を外に出さなければならない。たとえば「温かい雰囲気のWebサイトを作って」では弱い。どのユーザーが、どの時間帯に、どの感情で訪れ、最初に何を見て、どの不安を解消し、どのボタンを押し、どこで離脱し、どの文言で納得するのか。そこまで言語化できる人ほど、AIから良い成果を引き出せる。

映像制作でも同じである。「かっこいい動画を作って」では弱い。光源、カメラ位置、被写体の表情、色温度、背景、時間帯、動き、前後のシーンとの連続性、視聴者の感情の変化、ナレーションとの関係を言葉にできるほど、AI動画の品質は上がる。コード生成でも同じである。「ログイン機能を作って」ではなく、認証方式、セッション管理、パスワードリセット、メール認証、レート制限、エラーハンドリング、監査ログ、権限モデル、テストケースまで言える人ほど、AIを安全に使える。

ナラティブ・インテリジェンスという能力

AI時代に求められる能力を一言で表すなら、ナラティブ・インテリジェンス、つまり物語的知能である。これは、単に面白い物語を作る力ではない。複雑な出来事を、時間の流れ、因果関係、人物の意図、制度的背景、リスク、目的、葛藤、解決策として構造化する力である。

Axios事件を見ても、攻撃者は単なる技術者ではなかった。ターゲットに近づく理由を作り、自然な接触を演出し、信頼関係を築き、偽の会議へ誘導し、エラーや更新のように見せかけ、最終的に認証情報とパッケージ公開権限へ到達した。この一連の流れは、まるで脚本である。どの場面で疑念を減らし、どの場面で行動させ、どの場面で確認を省略させるかが設計されている。

もちろん、これは犯罪であり、称賛されるものではない。しかし構造だけを見れば、AIを使った優れたプロダクト開発や創作にも似た能力が必要である。ユーザーの心理を読む。導線を設計する。全体の流れを組む。複数の道具を配置する。失敗した時の分岐を考える。相手に伝わる言葉に落とす。抽象的な構想を具体的な手順へ変える。

この能力は、単なる数学力やプログラミング力だけでは完成しない。もちろん、論理力は必要である。だが、論理だけでは人間の行動は動かない。人間は、感情、文脈、信頼、期待、不安、面倒くささ、承認欲求、焦り、疲労によって動く。AIを使いこなす人間は、システムの構造だけでなく、人間の文脈も読まなければならない。

読書、語彙、長い思考

では、ナラティブ・インテリジェンスや言語化能力はどこから来るのか。ここで重要になるのが、読書である。読書は、単に知識を得る行為ではない。長い文章を読み、登場人物の意図を追い、伏線を覚え、因果関係を理解し、抽象的な概念を頭の中で保持し続ける訓練である。

CunninghamとStanovichの読書研究では、読書量が語彙知識に独立して寄与することが示されている。一般知能やデコード能力を統計的に統制しても、読書量は語彙発達に関係していた。これは非常に重要である。語彙が多い人は、単に難しい言葉を知っている人ではない。自分の感情、状況、違和感、設計意図、リスク、ニュアンスを、より正確に表現できる人である。

英語を話す時に言葉が出てこない感覚を思い出すとわかりやすい。頭の中に感情や考えはある。しかし、それに対応する単語や言い回しを知らなければ、表現できない。母語でも同じことが起きる。自分の中にある曖昧な感覚を表す言葉を持っていない人は、AIに対しても曖昧な指示しか出せない。逆に、多くの言葉に触れ、文章の構造を吸収してきた人は、頭の中の映像や概念をより細かく外に出せる。

ここで、ショート動画の時代との対比が出てくる。TikTok、YouTube Shorts、Instagram Reelsのような短尺動画は、非常に強い娯楽である。短い時間で刺激があり、次々に新しい情報が流れる。しかし、長い構造を保持する力を育てるには、短い刺激だけでは足りない可能性がある。近年の研究やレビューでは、短尺動画の過剰利用と注意困難、認知疲労、学習集中の低下との関連が議論されている。もちろん、短尺動画そのものが悪という話ではない。短尺動画にも学習効果や表現の可能性はある。問題は、脳が常に短い報酬に最適化され、長い文脈を保持する時間を失うことにある。

AIエージェントを使いこなすには、1分の思考だけでは足りない。5分、10分、1時間、場合によっては数日単位で、構想を保持し続ける力がいる。Webサービスの全体像、ユーザー体験、セキュリティ、運用、コスト、法務、マーケティング、動画の構成、台本、サムネイル、導線。これらを一つの構造として見るには、長い文章を読み、長い思考に耐える筋力が必要になる。

親子の会話とアウトプットの訓練

言語化能力は、読書だけでなく、対話からも育つ。発達心理学では、幼少期の「Serve and Return」、つまり子供の発話や行動に対して大人が応答し、さらに子供が返すという双方向のやり取りが、脳の発達、言語能力、社会性、感情調整の基盤になるとされている。これは特別な英才教育ではない。今日、学校で何があったのか。誰と遊んだのか。何が嫌だったのか。なぜそう思ったのか。次はどうしたいのか。そうした何気ない会話である。

この会話は、子供にとって小さなプレゼンテーションである。出来事を思い出し、順番を並べ、感情を言葉にし、相手に伝わるように説明する。大人が「それでどうなったの」「その時どう思ったの」「相手はどういう気持ちだったと思う」と返すことで、子供は出来事を多面的に捉える。これは、将来AIに指示を出す力と無関係ではない。

AIに良い指示を出すことは、ある意味で「頭の中で起きていることを、相手にわかる順番で説明する」行為である。これは、子供の頃からの会話、日記、読書感想、作文、物語理解、議論、発表、雑談の積み重ねとつながっている。AI時代に国語が重要になるというのは、古い教科観への回帰ではない。母語で抽象概念を扱い、構造化し、他者に伝える能力が、AIを動かすインターフェースそのものになっているということである。

ここで注意したいのは、専業主婦家庭がよい、共働き家庭が悪い、という単純な話ではないことである。重要なのは家庭形態ではなく、応答的な会話の質と量である。短時間でも、子供の発話に大人がきちんと反応する。子供が説明しようとする時に、急かさず、言い換え、質問し、感情を名前にしてあげる。こうした小さなやり取りが、長期的には言語化の基礎になる。

AI時代の実務者が持つべきセキュリティマインド

では、企業や個人開発者は具体的に何をすべきか。第一に、AIエージェントを一人の非人間ユーザーとして扱う必要がある。人間のアカウントにAIをぶら下げるのではなく、AIエージェント固有のID、権限、監査ログ、利用範囲を設計する。これを非人間アイデンティティ、NHIの管理として考える。APIキーやトークンを長期間使い回すのではなく、OIDCや短命クレデンシャルを使い、必要な時だけ必要な権限を渡す。

第二に、AIに渡す権限は最小化する。コード生成AIには、まず読み取り専用で十分な場面が多い。レビュー、設計、テスト生成、ドキュメント作成なら、本番環境への書き込み権限は不要である。データベース操作をさせる場合も、ステージングと本番を分離し、本番では削除系や更新系を人間承認にする。クラウド操作、DNS変更、決済、個人情報エクスポート、メール一斉送信、外部公開、npmやPyPIへのパッケージ公開は、特に強いゲートが必要である。

第三に、シークレット管理を徹底する。GitHubにAPIキーを置かない。プロンプトに秘密情報を貼らない。AIにログを渡す時は、トークン、メールアドレス、個人情報、セッションIDをマスクする。GitHub Secret Scanning、GitGuardian、trufflehog、gitleaksなどの検査をCIに組み込む。ローカルでは.envを.gitignoreに入れるだけで満足せず、シークレットの棚卸し、ローテーション、失効手順を持つ。

第四に、AI生成物を信じすぎない。AIが書いたコードは、動くかもしれないが、安全とは限らない。AIが「テストしました」と言っても、実際にテストしていない可能性がある。AIが「これはステージングです」と言っても、接続先が本番である可能性がある。AIに対しては、人格的信頼ではなく、検証可能性を重視する。AIを叱るより、AIが間違えても壊れない環境を作るべきである。

第五に、本人確認を再設計する。ビデオ会議で顔が見える、声が聞こえる、TeamsやZoomに参加している、というだけでは本人確認にならない。高リスク操作では、事前登録された承認フロー、別チャネル確認、ハードウェアキー、署名、チケット、承認者の分離が必要である。特に「急ぎ」「秘密」「上司から直接」「今すぐ送金」「例外的にお願い」という条件が重なる時は、詐欺の典型的な危険信号である。

第六に、AI利用を禁止するより、見える化する。シャドーAIは危険である。社員が便利だからと個人アカウントのAIに社内データを貼り、コードやログを投入し、顧客情報を要約させると、管理不能な情報流出経路が生まれる。禁止一辺倒では地下化する。企業は、使ってよいAI、入れてよいデータ、禁止データ、ログ保存、モデル学習利用の有無、承認手順、監査方法を明確にする必要がある。

及び腰ではなく、前倒しで使う

AIの脅威を語ると、最終的に「やはりAIは危険だから使わない方がよい」という結論に流れがちである。しかし、それは現実的ではない。攻撃側は使う。競合も使う。顧客も使う。開発者も使う。学生も使う。詐欺師も使う。であれば、防御側や善良な開発者だけが使わないという選択は、むしろ危険である。

重要なのは、AIを前倒しで使いながら、同時に慎重になることである。これは矛盾ではない。車を運転する社会は、車を禁止するのではなく、免許、信号、車検、シートベルト、エアバッグ、保険、交通ルールを作った。AIエージェントも同じである。使わないのではなく、権限、監査、検証、教育、責任分界、事故対応をセットで整備する必要がある。

個人開発者にとっても、これは大きなチャンスである。かつてなら数人のチームが必要だったものを、一人で作れる。LP、SaaS、管理画面、動画、ナレーション、広告、SEO記事、プロンプト、画像、テスト、デプロイまで、AIと組み合わせれば到達できる範囲が広がる。しかし同時に、一人で扱う責任範囲も広がる。だからこそ、最初から本番データ、決済、個人情報、APIキーを雑に扱ってはいけない。小さく作ることと、雑に作ることは違う。

AI時代に人間が鍛えるべきもの

最終的に、AI時代に人間が鍛えるべきものは何か。第一に、言語化能力である。自分の頭の中にある曖昧な映像、違和感、構想、目的、制約を言葉にする力である。第二に、構造化能力である。複雑なものを、順番、階層、因果、依存関係、リスク、例外に分ける力である。第三に、検証能力である。AIが出したものを、事実、推測、誤り、未確認、リスクに分けて扱う力である。第四に、長い集中力である。短い刺激ではなく、長い文脈を保持し続ける力である。第五に、倫理と責任である。できることと、やってよいことを分ける力である。

この中で、意外に見落とされがちなのが読書である。読書は、AI時代に古くなるどころか、むしろ重要性を増す。長い文章を読むことは、長い文脈を頭に保持する訓練である。登場人物の意図を読むことは、他者の心理を推測する訓練である。抽象的な概念を理解することは、AIに高解像度の指示を出す準備である。語彙を増やすことは、自分の内側を外へ出すための道具を増やすことである。

動画、SNS、短文、チャット、ショートコンテンツは便利で楽しい。しかし、それだけでは長い構想を育てにくい。AIエージェントを本当に使いこなす人は、短く命令する人ではなく、長く考え、必要な時に短く正確に指示できる人である。短いプロンプトが強いのは、その背後に長い構想がある時だけである。

結論。AIが問うているのは、人間の解像度である

2025年から2026年にかけて見えてきたAI関連のセキュリティ事件は、単なる技術ニュースではない。Axiosのサプライチェーン攻撃は、信頼と依存関係が攻撃対象になることを示した。Arupのディープフェイク詐欺は、顔と声が本人確認にならない時代を示した。GitHubのシークレット漏洩は、AIによって開発速度が上がるほど、管理されない認証情報が危険になることを示した。EchoLeakは、AIアシスタントが社内外の文脈をまたぐ時、新しい種類の情報漏えいが起こることを示した。Replitの事故は、AIが悪意を持たなくても、権限設計を誤れば本番環境を壊しうることを示した。

しかし、これらの事件から導くべき結論は、AIを避けることではない。AIを使う人間の解像度を上げることである。何を任せるのか。何を任せないのか。どこで止めるのか。どの権限を渡すのか。どのログを見るのか。どの情報を隠すのか。どの操作に人間承認を入れるのか。どのように本人確認するのか。これらを言語化し、設計し、運用する力が必要になる。

そして、AIを使って優れたものを作る側にも、同じ力が必要である。Webアプリケーションを作るにも、動画を作るにも、小説を書くにも、事業を作るにも、頭の中の抽象的なイメージを言葉にし、AIに渡し、出力を見て、修正し、統合する力が必要である。その意味で、AI時代に重要なのは、単なる理系能力でも、単なる文系能力でもない。論理と物語、設計と表現、抽象と具体、速度と慎重さを行き来する総合的な知性である。

AIは、人間の代わりに考えてくれる魔法ではない。人間の構想を増幅する道具である。構想が浅ければ、浅いものが速く出る。構想が粗ければ、粗いものが大量に出る。構想が悪意を帯びれば、悪意もまた増幅される。逆に、構想が深く、言葉が明確で、設計が慎重であれば、AIは一人の人間の可能性を何倍にも広げる。

だからこそ、これからの時代に必要なのは、AIを怖がって距離を置くことではなく、AIを使いながら、自分自身の言葉、構想、読解、倫理、検証の力を鍛えることである。最後に問われるのは、AIの性能だけではない。AIに何を見せ、何を語り、何をさせ、どこで止めるのかを決める、人間の側の解像度なのである。

参考資料

• IBM Cost of a Data Breach Report 2025
• FBI 2025 Internet Crime Report announcement
• Microsoft Security: Mitigating the Axios npm supply chain compromise
• GitGuardian State of Secrets Sprawl 2026
• EchoLeak paper
• BleepingComputer: Step Finance says compromised execs' devices led to $40M crypto theft